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1. This international preliminary examination report has been prepared by this International ^Preliminary Examining 



Authority and is transmitted to the applicant according to Article 36. 
2. This REPORT consists of a total of 7 sheets, including this cover sheet. 
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(see Rule 70.16 and Section 607 of the Administrative Instructions under the PCT). 
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Form PCT/IPEA/409 (cover sheet) (January 1994) 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



IntelWKbnal application No. 

PCTVFR00/00190 



I. Basis of the report 



1 . This report has been drawn on the basis of {Replacement sheets which have been furnished to the receiving Office in response to an invitation 
under Article 14 are referred to in this report as "originally filed" and are not annexed to the report since they do not contain amendments.): 



the international application as originally filed. 
| | the description, pages 1*50 , as originally filed, 



| | the claims, 



pages 
pages 
pages 

Nos. 
Nos. 
Nos. 
Nos. 
Nos. 



16(partie),17,18 



l-15,16(partie) 



filed with the demand, 
filed with the letter of 
filed with the letter of 



, as originally filed, 

, as amended under Article 19, 

, filed with the demand, 

, filed with the letter of 

, filed with the letter of 



09 January 2001 (09.01. 200 n 



| | the drawings, sheets/fig 
sheets/fig 
sheets/fig 
sheets/fig 



, as originally filed, 
, filed with the demand, 
, filed with the letter of 
, filed with the letter of 



2. The amendments have resulted in the cancellation of: 

I 1 . the description, pages 

I I the claims, Nos. 



□ 

the drawings, sheets/fig 



2 I I This report has been established as if (some of) the amendments had not been made, since they have been considered 
1 — 1 to go beyond the disclosure as filed, as indicated in the Supplemental Box (Rule 70.2(c)). 

4. Additional observations, if necessary: 
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I. Basis of the report 

1 . This report has been drawn on the basis of (Replacement sheets which have been famished to the receiving Office in response to an invitation 
under Article Mare referred to in this report as "originally filed" and are not annexed to the report since they do not contain amendments.) : 

The set of amended claims filed with the applicant's 
response to the written opinion does not include the 
second part of Claim 16 or Claims 17 and 18. The report 
is based on Claims 1 to 15 as amended, and 16 to 19 as 
originally filed. 



Form PCT/IPEA/409 (Box I) (January 1994) 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



rn^^^ii 



InternfBThal application No. 
PCT/FR 00/00190 



V. Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 



Statement 
Novelty (N) 

Inventive step (IS) 
Industrial applicability (IA) 



Claims 
Claims 

Claims 
Claims 

Claims 
Claims 



1-18 



1-18 



1-18 



YES 
NO 
YES 
NO 

YES 
NO 



Citations and explanations 

The invention relates to a method (Claim 1) and a system 
(Claims 6 and 11) for proving, to a verification entity, 
the authenticity of an entity and/or the integrity of a 
message associated with said entity, comprising the 
following sequential steps: the entity carries out a 
commitment process; the verification entity issues a 
challenge; the control entity issues a response and the 
verification entity verifies said response. The invention 
also relates to a verification device (Claim 15) using 
said method. 



Prior art : 



Document EP-A-0 311 470, cited in the application, 
describes a similar method wherein an entity designated as 
a "trusted authority" assigns an identity to each entity 
designated as "control" and calculates the RSA signature 
thereof; in the course of the personnalisation procedure, 
the trusted authority provides the identity and signature 
to the control, whereafter the control entity declares: 
"Here is my identity; I know the RSA signature thereof". 
The control thus providing proof of knowledge of the RSA 
signature of the stated identity without disclosing said 
signature. Using the RSA verification public key 



Form PCT/IPEA/409 (Box V) (January 1994) 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



InternWBhal application No. 
PCT/FR 00/00190 



distributed by the trusted authority, an entity designated 
as "verification entity" verifies that the RSA signature 
corresponds to the stated identity without seeing said 
signature. The mechanisms using this protocol take place 
without any "transfer of knowledge": the control entity 
does not know the RSA private key used by the trusted 
authority to sign a large number of identities. 



The problem: 



The use of RSA technology opens up the authentication 
method to so-called "multiplicative" attacks. Moreover, 
the workload involved in the arithmetic operations 
requires computation times that are far too high for smart 
card-type applications . 



The invention : 



The method does not use the RSA signature, and computes 
commitments R, challenges d and responses R on the basis 
of public/private keys Gi and Qi, as defined by the 
features of Claim 1 . 



None of the documents cited in the international search 
report discloses or suggests the computation steps defined 
in Claim 1. In particular, document EP-A-0 792 044 
(category X) , although it relates to a challenge/response 
type authentication method, uses the RSA technology. 



Therefore, the subject matter of Claim 1 involves an 
inventive step (PCT Article 33) . 

Independent Claims 6 and 11 are equivalent to Claim 1, and 
relate to systems comprising the control device computing 
the commitments, receiving the challenges and computing 
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the responses. They therefore meet, likewise, the 
requirements of PCT Article 33. 

Independent Claim 15 relates to a control device which 
computes Gi and Qi values as per the method of the 
invention. Since said computations are neither disclosed 
nor suggested by the cited documents, said claim also 
meets the requirements of PCT Article 33. 

The other claims are dependent claims that also meet, as 
such the PCT requirements of novelty and inventive step. 



Form PCT/IPEA/409 (Box V) (January 1994) 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



Internaf^Rtl application No. 
PCT/FR 00/00190 



VII. Certain defects in the international application 

The following defects in the form or contents of the international application have been noted: 

1. The pending application mentioned on page 50 of the 
description has not been identified by the application or 
publication number thereof (PCT Guidelines, Chapter II- 
4.17). 

2. The expression "in the case where the prover has 
transmitted../ 7 , "operation of...", "in the case where the 
verification entity..." in the dependent claims are used 
with no prior reference thereto in the wording of the 
claims . 
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VIII. Certain observations on the international application 



The following observations on the clarity of the claims, description, and drawings or on the question whether the claims are fully 
supported by the description, are made: 

The following claims do not entirely meet the requirements 
of PCT Article 6 for the following reasons: 



1. Independent Claim 1: 



Since the verification step by the "verification" entity 
is not mentioned in the claim, the designation of the 
subject matter of the invention ("a method for proving to 
a verification entity the authenticity of an entity and/or 
the integrity of a message") is unclear: the features set 
forth in the claim relate solely to the computation of the 
commitment/challenge/response values usable in the 
authentication method of the invention. 



2. Independent Claims 6 and 11 contain the same features 
as Claim 1, but expressed in terms of a system. The 
objection raised in paragraph 1 above also applies to 
these claims. 

Moreover, although Claims 6 and 11 have been drafted in 
the form of separate independent claims, in fact they have 
the same subject matter and only differ from one another 
in terms of a variation in the definition of the subject 
matter for which protection is sought (a system comprising 
the control entity or a terminal device comprising the 
control entity) . Consequently, said claims, taken as a 
whole, are not concise (PCT Article 6) . 

3. Independent Claim 15 relates to a verification device 
to be used with the terminal or control device. However, 
instead of device or system features, said claim comprises 
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VIII. Certain observations on the international application 



method or process features, some of which are external to 
the claimed system ("unknown to the verification device") 
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Reference du dossier du deposant ou du 
mandataire 

5972.WO 



Demande internationale n° 
PCT/FROO/00190 



voir la notification de transmission du rapport d'examen 
POUR SUITE A DONNER preliminaire international (formulaire PCT/IPEA/416) 



Date du depot international (jour/mois/ann6e) 
27/01/2000 



Date de priorite Qour/mois/ann6e) 
27/01/1999 



Classification internationale des brevets (CIB) ou a la fois classification nationale et CIB 
H04L9/32 



Deposant 

FRANCE TELECOM et al. 



1. Le present rapport d'examen preliminaire international, 6tabli par I'administaration chargee de I'examen preliminaire 
international, est transmis au deposant conformement a I'article 36. 

2. Ce RAPPORT comprend 7 feuilles, y compris la pr6sente feuille de couverture. 

IS II est accompagne d'ANNEXES, c'est-a-dire de feuilles de la description, des revendtcations ou des dessins qui ont 
ete modifiees et qui servent de base au present rapport ou de feuilles contenant des rectifications faites auprds de 
I'administration chargee de I'examen preliminaire international (voir la regie 70.16 et I'instruction 607 des Instructions 
administratives du PCT). 

Ces annexes comprennent 25 feuilles. 



3. Le present rapport contient des indications relatives aux points suivants: 
I IS Base du rapport 



II 


□ 


III 


□ 


IV 


□ 


V 




VI 


□ 


VII 


H 


VIII 


SI 



quant a la nouveaute, I'activite inventive et la possibility 

notivee selon I'article 35(2) quant a la nouveaute, I'activite iniehtive et$ posi 
d'application industrielle; citations et explications a I'appui de cette declaration o 

- ■■ ^ 



ADsence ae Tormuiauon 
d'application industrielle 

□ Absence d'unite de I'invention 



o 

o 
r~ 
o 
c? 

o 



TO 

n 

CD 



Date de presentation de la demande d'examen preliminaire 
internationale 

19/07/2000 



Date d'achevement du present rapport ^ 
t ro 

CO 



04.04.2001 



o 



Nom et adresse postale de I'administration charged de 
I'examen preliminaire international: 
Office europ^en des brevets 

D-80298 Munich 
Tel. +49 89 2399 - 0 Tx: 523656 epmu d 

Fax: +49 89 2399 - 4465 



Fonctionnaire auto rise 
Cretaine, P 

N° de telephone +49 89 2399 8828 



Formulaire PCT/lPEA/409 (feuille de couverture) (janvier 1994) 



RAPPORT D'EXAMEN 
PRELIMINAIRE INTERNATIONAL 



Demande internationale n° PCT/FR00/001 90 



I. Base du rapport 

1 . En ce qui concerne les elements de la demande internationale {les feuilles de remplacement qui ont 6t6 remises 
£ I'office rGcepteur en rgponse & une invitation faite conformgment & f'article 14 sont consid£r£es dans le present 
rapport comme "initialement d6pos£es a et ne sont pas jointes en annexe au rapport puisqu'elies ne contiennent 
pas de modifications (regies 70. 16 et 70. 1 7)) : 

Description, pages: 

1-50 version initiale 



Revendications, N°: 

1 6 (partie) , 1 7, version initiale 
18 

1-15, re$ue(s) le 10/01/2001 avec la lettre du 09/01/2001 

16 (partie) 



2. En ce qui concerne la langue, tous les elements indiques ci-dessus §taient a la disposition de ('administration ou 
lui ont ete remis dans la langue dans laquelle la demande internationale a et6 d6pos6e, sauf indication contraire 
donnee sous ce point. 

Ces elements etaient k la disposition de I'administration ou lui ont ete remis dans la langue suivante: , qui est : 

□ la langue d'une traduction remise aux fins de la recherche internationale (selon la regie 23.1(b)). 

□ la langue de publication de la demande internationale (selon la regie 48.3(b)). 

□ la langue de la traduction remise aux fins de I'examen preliminaire internationale (selon la regie 55.2 ou 
55.3). 

3. En ce qui concerne les sequences de nucleotides ou d'acide amines divulguees dans la demande 
internationale (le cas echeant), I'examen preliminaire internationale a ete effectue sur la base du listage des 
sequences : 

□ contenu dans la demande internationale, sous forme ecrite. 

□ d§pos§ avec la demande internationale, sous forme dechiffrable par ordinateur. 

□ remis ult6rieurement k I'administration, sous forme ecrite. 

□ remis ult6rieurement k I'administration, sous forme dechiffrable par ordinateur. 

□ La declaration, selon laquelle le listage des sequences par ecrit et fourni ulterieurement ne va pas au-del& 
de la divulgation faite dans la demande telle que deposee, a ete fournie. 

□ La declaration, selon laquelle les informations enregistrees sous dechiffrable par ordinateur sont identiques k 
celles du listages des sequences Presente par ecrit, a ete fournie. 

4. Les modifications ont entraine I'annulation : 
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□ de la description, pages : 

□ des revendications, n 03 : 

□ des dessins, feuilles : 

5. □ Le present rapport a 6t6 formula abstraction faite (de certaines) des modifications, qui ont 6t<§ consider§es 
comme allant au-del& de l'expos§ de I'invention tel qu'il a 6t6 d6pos<§, comme il est indiqu<§ ci-apr6s (r&gle 
70.2(c)) : 

(Toute feuille de remplacement comportant des modifications de cette nature doit etre indiquge au point 1 et 
annexee au present rapport) 



6. Observations comptementaires, le cas 6cheant : 
voir feuille separee 



V. Declaration motivee selon l article 35(2) quant a la nouveaute, I'activite inventive et la possibility 
d'application industrielle; citations et explications a I'appui de cette declaration 

1. Declaration 



Nouveaute Oui : Revendications 1-18 

Non : Revendications 

Activity inventive Oui: Revendications 1-18 

Non : Revendications 

Possibility d'application industrielle Oui : Revendications 1-18 

Non : Revendications 



2. Citations et explications 
voir feuille separee 



VII. Irregularites dans la demande internationale 

Les irregularites suivantes, concernant la forme ou le contenu de la demande internationale, ont 6te constat^es : 
voir feuille separee 



VIM. Observations relatives a la demande internationale 

Les observations suivantes sont faites au sujet de la clarte des revendications, de la description et des dessins 
et de la question de savoir si les revendications se fondent entierement sur !a description : 
voir feuille separee 
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Concernant le point I 
Base du rapport 

L e jeu de revendications amendees depose avec la reponse du deposant a Popinion 
ecrite ne comprends pas la deuxieme partie de la revendication 1 6 ni les 
revendications 17 et 18. Le rapport est base sur les revendications 1 a 15 telles 
qu'amendees et 16 a 18 telles que dans la version initiate. 

Concernant le point V 

Declaration motivee selon Particle 35(2) quant a la nouveaute, I'activite inventive 
et la possibility d'application industrielle; citations et explications a I'appui de 
cette declaration 

L'invention concerne un procede (revendication 1) et un systeme (revendications 6 et 
11) destines a prouver a une entite controleur I'authenticite d'une entite et/ou I'integrite 
d'un message associe a cette entite, comportant les etapes successives d'engagement 
effectuee par I'entite, de defi effectue par le controleur, de reponse par le temoin et de 
controle par le controleur. Elle concerne aussi un dispositif controleur (revendication 
15) utilisant ce procede. 

Etat de la technique: 

EP-A-0 31 1 470, cite dans la demande, decrit un tel procede selon lequel une entite 
appelee "autorite de confiance" attribue une identite a chaque entite appelee "temoin" 
et en calcule la signature RSA; durant un processus de personnalisation, I'autorite de 
confiance donne identite et signature au temoin. Par suite, le temoin proclame: "Voici 
mon identite; j'en connais la signature RSA.". Le temoin prouve sans la reveler qu'il 
connaTt la signature RSA de son identite. Grace a la cle publique de verification RSA 
distribute par Tautorite de confiance, une entite appelee "controleur" verifie sans en 
prendre connaissance que la signature RSA correspond a I'identite proclamee. Les 
mecanismes utilisant ce protocole se deroulent "sans transfer! de connaissance": le 
temoin ne connaTt pas la cle privee RSA avec laquelle I'autorite de confiance signe un 
grand nombre d'identites. 
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Probleme: 

L'utilisation de la technologie RSA rend le procede d'authentification sensible aux 
attaques dites "multiplicatives"; d'autre part la charge de travail liee aux operations 
arithmetiques entrame des temps de calculs trop importants pour les applications type 
carte a puce. 

Invention: 

Le procede n'utilise pas la signature RSA et calcule des engagements R, defis d et 
reponses R a partir de valeurs publiques /privees Gj et Qj definis selon les 
caracteristiques de la revendication 1 . 

Aucun des documents cites dans le rapport de recherche international ne divulgue ou 
suggere les etapes de calcul definies dans la revendication 1 . En particulier, 
EP-A-0 792 044 (cat. X) se rapporte aussi a un procede d'authentification par 
defi/reponse, mais utilisant la technologie RSA. 

L'objet de la revendication 1 implique par consequent une activite inventive (article 33 
PCT). 

Les revendications independantes 6 et 1 1 correspondent a la revendication 1 en 
termes de systemes comportant le dispositif temoin calculant les engagements, 
recevant les defis et calculant les reponses. Elles remplissent done aussi les conditions 
de I'article 33 PCT. 

La revendication independante 15 est relative a un dispositif controleur utilisant les 
calculs de G, et Qi propres au procede de I'invention. Ces calculs n'etant ni divulgues ni 
suggeres par les documents cites, cette revendication remplit aussi les conditions de 
I'article 33 PCT. 

Les autres revendications sont dependantes et satisfont done egalement, en tant que 
telles, aux conditions requises par le PCT en ce qui concerne la nouveaute et I'activite 
inventive. 
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Concernant le point VII 

Irregularis dans la demande Internationale 

1. La demande pendante evoquee a la page 50 de la description n'est pas identifiee 
par son numero de demande ou de publication (Directives PCT, II 4.17). 

2. Les expressions "cas ou le demonstrates a transmis "operation de "cas 
ou le controleur..." dans les revendications dependantes sont utilisees sans lien 
avec le reste du texte des revendications. 



Concernant le point VIII 

Observations relatives a la demande internationale 

Les revendications suivantes ne remplissent pas entierement les conditions de I'article 
6 PCT pour les raisons suivantes: 

1. revendication independante 1 : 

L'etape de controle par I'entite "controleur" n'etant pas indiquee dans la 
revendication, la designation de I'objet de I'invention ("procede destine a prouver 
a une entite controleur I'authenticite d'une entite et/ou I'integrite d'un message") 
n'est pas claire, les caracteristiques enoncees dans la revendication se rapportant 
uniquement aux calculs des valeurs d'engagements/defis/reponses utilisables 
dans le procede d'authentification selon I'invention. 

2. Les revendications independantes 6 et 1 1 contiennent les memes caracteristiques 
que la revendication 1 mais exprimees en terme de systeme. L 1 objection 
mentionnee au paragraphe 1 ci-dessus est done aussi valable pour ces 
revendications. 

De plus, bien que les revendications 6 et 1 1 aient ete redigees sous forme de 
revendications independantes distinctes, elles ont en fait le meme objet et ne 
different Tune de I'autre que par une variation minime dans la definition de I'objet 
pour lequel la protection est demandee (systeme comportant le temoin ou 
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dispositif terminal comportant le temoin). Par consequent ces revendications, 
considerees ensemble, ne sont pas concises (Article 6 PCT). 

3. La revendication independante 15 se rapporte a un dispositif controleur destine a 
cooperer avec le dispositif terminal ou temoin. Elle ne comporte cependant 
aucune caracteristique de dispositif ou systeme mais des caracteristiques de 
methode ou procede, dont certaines sont de plus des caracteristiques exterieures 
au systeme revendique ("inconnus du dispositif controleur"). 
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Revendications 
1. Procede destine a prouver a line entite controleur, 

- l'authenticite d'une entite et/ou 

- l'integrite d'un message M associe a cette entite, 
au moyen : 

- de m couples de valeurs privees Q u Q 2? Q m et publiques G 1? G 2 , 
G m , m etant superieur ou egal a 1, on des parametres derives de ceux-ci, 

- d'un module public n constitue par le produit de f facteurs premiers 
Pi* P2? ••• Pf ? f etant superieur ou egal k 2 ; 

ledit module et lesdites valeurs etant lies par des relations du type : 

Gi* Qi V = 1 • mod n ou Gi= Q^mod n ; 
v designant un exposant public tel que 

v = 2 k 

ou k est un parametre de securite plus grand que 1 ; 

ladite valeur publique Gi etant le carre gi 2 d'un nombre de base g| inferieur 
aux f facteurs premiers p 1? p 2 , p f ; le nombre de base g % etant tel que les 
conditions suivantes sont satisfaites : 

aucime des deux equations : 

x 2 = gi mod n et x 2 = - gi mod n 
n'a de solution en x dans Tanneau des entiers modulo n 
et tel que : 

Tequation : 

x v = g 2 mod n 

a des solutions en x dans Panneau des entiers modulo n ; 
ledit procede met en ceuvre selon les etapes suivantes une entite appelee 
temoin disposant des f facteurs premiers Pi et/ou des parametres des restes 
chinois des facteurs premiers et/ou du module public n et/ou des m valeurs 
privees Q L et/ou des f.m composantes Qi, j (Qi, j = Qiinod pj) des valeurs 
privees Q { et de T exposant public v ; 
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- le temoin calcule des engagements R dans Tanneau des entiers 
modulo n ; chaque engagement etant calcule : 

• soit en effectuant des operations du type 

R = r v modn 
5 ou r est un alea tel que 0 < r < n, 

• soit 

•• en effectuant des operations du type 
RiSr^modpi 

ou r x est un alea associe au nombre premier Pi tel que 0 < r t < Pl , chaque ^ 
10 appartenant a une collection d'aleas {r x , r 2 , • . . r f } , 

puis en appliquant la methode des restes chinois ; 

- le temoin regoit un ou plusieurs defis d ; chaque defi d comportant 
m entiers d L ci-apres appeles defis elementaires ; le temoin calcule a partir 
de chaque defi d une reponse D, 

15 • soit en effectuant des operations du type : 

D^r . Q x * . Q 2 ^ ... Q m ^ mod n 

• soit 

en effectuant des operations du type : 
Dj = A . Q w dl . d2 . ... ^ mod Pi 
20 puis en appliquant la methode des restes chinois ; 

ledit precede etant tel qu'il y a autant de reponses D que de defis d que 
d'engagements R, chaque groupe de nombres R, d, D constituant un triplet 
note {R, d, D}. 

2. Precede selon la revendication 1 destine a prouver r authenticity 
2& d'une entite appelee demonstrates a une entite appelee controleur, ladite 

entite demonstrateur comprenant le temoin ; 

lesdites entites demonstrateur et controleur executant les etapes suivantes : 

• etape 1 : acte d'engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
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processus specifie selon la revendication 1, 

- le demonstrateur transmet au controleur tout ou partie de chaque 
engagement R, 

• etape 2 : acte de defi d 

- le controleur, apres avoir re9u tout ou partie de chaque engagement R, 
produit des defis d en nombre egal au nombre d' engagements R et transmet 
les defis d au demonstrateur, 

• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie selon la revendication 1, 

• etape 4 : acte de controle 

- le demonstrateur transmet chaque reponse D au controleur, 

cas ou le demonstrateur a transmis une partie de chaque engagement R 
dans le cas ou le demonstrateur a transmis une partie de chaque engagement 
R, le controleur, disposant des m valeurs publiques G l5 G 2> ... G^ calcule k 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R 5 satisfaisant a une relation du type : 

R> = Gi 61 . G 2 ^ ... G m dm . D v mod n 
ou a une relation du type, 

R' = D v / G x ffl . G 2 d2 . ... G m . mod n , 
le controleur verifie que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R qui lui a ete transmis, 
cas ou le demonstrateur a transmis Pintegralite de chaque engagement 
R 

dans le cas ou. le demonstrateur a transmis Tintegralite de chaque 
engagement R, le controleur, disposant des m valeurs publiques G u G 2 , 
G m , verifie que chaque engagement R satisfait a une relation du type : 

R = G 1 dl .G 2 d2 - ... G m dm .D v modn 
ou a une relation du type, 
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R = D v / Gj • G 2 112 — G m ^ • mod n . 
3. Precede selon la revendication 1 destine a prouver a une entit6 
appelee controleur l'integrit6 d'un message M associe a une entite appelee 
demonstrateur, ladite entite demonstrateur comprenant le temoin ; 
5 lesdites entites demonstrateur et controleur executant les etapes suivantes : 

• etape 1 : acte d'engagementR 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie selon la revendication 1, 

• etape 2 : acte de defi d 

10 - le demonstrateur applique une fonction de hachage h ayant comme 

arguments le message M et tout ou partie de chaque engagement R pour 
calculer au moins un jeton T, 

- le demonstrateur transmet le jeton T au controleur, 

- le controleur, apres avoir re$u un jeton T, produit des defis d en nombre 
15 egal au nombre d' engagements R et transmet les defis d au demonstrateur, 

• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie selon la revendication 1 3 

• etape 4 : acte de controle 

20 - le demonstrateur transmet chaque reponse D au controleur, 

- le controleur, disposant des m valeurs publiques G 1? G 2 , ... G m , calcule a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R' sG, . G 2 **. ... G m dm . D v mod n 
25 ou a une relation du type : 

R , = D v /G 1 <u .G 2 d2 .^G m dm . modn 

- puis le controleur applique la fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement 
reconstruit R 5 pour reconstruire le jeton T% 
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- puis le contrSleur verifie que le jeton T' est identique au jeton T transmis. 

4. Proceed selon la revendication 1 destine a produire la signature 
numerique d'un message M par une entite appelee entite signataire, ladite 
entite signataire comprenant le temoin ; 

5 Operation de signature 

ladite entite signataire execute une operation de signature en vue d'obtenir 
un message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 
io - les reponses D ; 

ladite entite signataire execute P operation de signature en mettant en oeuvre 
les etapes snivantes : 

• etape 1 : acte d'engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
15 processus specifie selon la revendication 1, 

• etape 2 : acte de defi d 

- le signataire applique une fonction de hachage h ayant comme arguments 
le message M et chaque engagement R pour obtenir un train binaire, 

- le signataire extrait de ce train binaire des defis d en nombre egal au 
20 nombre d' engagements R, 

• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie selon la revendication L 

5. Precede selon la revendication 4 destine a prouver Pauthenticite 
26 du message M en controlant, par ime entite appelee controleur, le message 

signe; 

Operation de controle 

ladite entite controleur disposant du message signe execute une operation 
de controle en procedant comme suit : 
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• cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

dans le cas ou le contrSleur dispose des engagements R, des defis d, des 
reponses D, 

5 • • le controleur verifie que les engagements R, les defis d et les 

reponses D satisfont a des relations du type 

R = G x * . G 2 **. ... G m . D v mod n 
ou a des relations du type : 

R S DVG 1 dl .G 2 d2 ...G fll dm . modn 
10 • • le controleur verifie que le message M, les defis d et les 

engagements R satisfont a la fonction de hachage 

d = h (message, R) 

• cas oil le controleur dispose des d&fis d et des reponses D 
dans le cas ou le controleur dispose des defis d et des reponses D, 

15 • • le controleur reconstruit, a partir de chaque defi d et de chaque 

reponse D, des engagements R' satisfaisant a des relations du type : 

R'sG^.Gj d2 . ... G m *■ . D v mod n 
ou a des relations du type : 

R'=D v /G 1 <u .G 2 d2 ....G ni dm . modn 
20 • • le controleur verifie que le message M et les defis d satisfont a la 

fonction de hachage 

d = h (message, R') 

• cas ou le controleur dispose des engagements R et des reponses D 

d ans le cas ou le controleur dispose des engagements R et des reponses D, 
25 • • le controleur applique la fonction de hachage et reconstruit d* 

d' = h (message, R) 
• • le controleur verifie que les engagements R ? les defis d* et les 
reponses D, satisfont a des relations du type : 

R = Gj d l . G 2 d ' 2 . ... G m d m . D v mod n 
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on a des relations du type : 

RsD v /G 1 dl -G 2 d2 ..-G m d,,n . modn 
6. Systeme destine a prouver a un serveur controleur, 

- Fauthenticite d'une entite et/ou 

- 1' integrity d'un message M associe a cette entite, 
au moyen : 

- de m couples de valeurs privees Q X9 Q 2 , ... Q m etpubliques G l9 G 2 , 
... G m , m etant superieur ou egal a 1, on des parametres derives de ceux-ci, 

- d'un module public n constitue par le produit de f facteurs premiers 
Pi5 P2> Pf 5 f etant superieur ou egal a 2 ; 

ledit module et lesdites valeurs etant lies par des relations du type : 

Gj . Qi v = 1 . mod n ou Gi = Q^mod n ; 
v designant un exposant public tel que 

v-2 k 

ou k est un parametre de securite plus grand que 1 ; 

ladite valeur publique Gi 6tant le carre g 2 d'un nombre de base gi inferieur 
aux f facteurs premiers p l9 p 2 , ... p f ; le nombre de base g t etant tel que les 
conditions suivantes sont satisfaites : 

aucune des deux Equations : 

x 2 ^gimod n et x 2 = -g i modn 
n'a de solution en x dans Panneau des entiers modulo n 
et tel que : 

Inequation : 

x v = gi 2 mod n 
a des solutions en x dans Panneau des entiers modulo n ; 
ledit systeme comprend un dispositif temoio, notamment contenu dans xm 
objet nomade se presentant par exemple sous la forme d'une carte bancaire 
a microprocesseur, 
le dispositif temoin comporte 
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- une zone memoire contenant les f facteurs premiers jy { et/ou les 
parametres des restes chinois des facteurs premiere et/ou le module public n 
et/ou les m valeurs privees Qt et/ou les f.m composantes Q^j (Q^j == Qtinod 
Pj) des valeurs privees Qi et Fexposant public v ; 

5 ledit dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif t&noin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 

10 l'anneau des entiers modulo n ; chaque engagement etant calcule : 

• soit en efFectuant des operations du type 

R = r v modn 

ou r est un alea produit par les moyens de production d'aleas, r etant tel que 
0<r<n, 

15 • soit en efFectuant des operations du type 

Ri == mod pj 

ou Ti est un alea associe au nombre premier pi tel que 0 < Ti < p 5 , chaque r s 
appartenant a une collection d'aleas {r x , r 2 , ... r f } produits par les moyens 
de production d'aleas, puis en appliquant la methode des restes chinois ; 
20 ledit dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 
des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d ; 
chaque defi d comportant m entiers di ci-apres appeles defis 61ementaires ; 

- des moyens de calcul, ci apres designes les moyens de calcul des 
26 reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 

reponse D, 

• soit en efFectuant des operations du type : 

D = r . Q x 111 . Q 2 ^ ... Q m mod n 

• soit en efFectuant des operations du type : 
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r t . Q^i dl . Q U2 d2 . ... Qun ta mod Pi 

puis en appliquant la methode des restes chinois, 

- des moyens de transmission pout transmettre un ou plusieurs 
engagements R et une ou plusieurs reponses D ; 

5 il y a autant de reponses D que de defis d que d' engagements R, chaque 

groupe de nombres R, d, D constituant un triplet note {R^d, D}. 

7. Systeme selon la revendication 6 destine a prouver F authenticity 
d'une entite appelee demonstrateur a une entite appelee controleur, 
ledit systeme etant tel qu'il comporte 

10 - un dispositif demonstrateur associe a F entite demonstrateur, ledit 

dispositif demonstrateur 6tant interconnect^ au dispositif temoin par des 
moyens d'interconnexion et pouvant se presenter notamment sous la fonne 
de microcircuits logiques dans un objet nomade par exemple sous la forme 
d'un microprocesseur dans une carte bancaire k microprocesseur, 

15 - un dispositif controleur associe a F entite controleur, ledit dispositif 

controleur se presentant notamment sous la forme d'un terminal ou d'un 
serveur distant, ledit dispositif controleur comportant des moyens de 
connexion pour le connecter electriquement; electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un reseau de 

20 communication informatique, au dispositif demonstrateur ; 

ledit systeme pennettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 
a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 

2& selon la revendication 1 , 

le dispositif temoin comporte des moyens de transmission, ci-apr6s 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d' interconnexion, 
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le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres design6s les moyens de transmission du demonstrateur, pour 
transmettre tout ou partie de chaque engagement R au dispositif controleur, 
via les moyens de connexion ; 
5 • etape 2 : acte de defi d 

le dispositif controleur comporte des moyens de production de defis pour 
produire, apres avoir re?u tout ou partie de chaque engagement R, des defis 
d en nombre 6gal au nombre d' engagements R, 

le dispositif controleur coinporte aussi des moyens de transmission, ci-apres 
io designes les moyens de transmission du controleur, pour transmettre les 

defis d au demonstrateur, via les moyens de connexion ; 

• etape 3 : acte de reponse D. 

les moyens de reception des defis d du dispositif t6moin, regoivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
15 d'interconnexion, 

les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 1, 

• etape 4 : acte de controle 

20 les moyens de transmission du demonstrateur transmettent chaque reponse 

D au controleur, 

le dispositif controleur comporte aussi 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

2$ - des moyens de comparaison, ci-apres designes les moyens de 

comparaison du dispositif controleur, 

cas ou le demonstrateur a transmis une partie de chaque engagement R 

dans le cas ou les moyens de transmission du demonstrateur ont transmis 
une partie de chaque engagement R, les moyens de calcul du dispositif 
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controleur, disposant des m valeurs publiques G l9 G 2 , ... G^ calculent a 
partir de chaque defi d et de chaque r6ponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R> = G 1 dl . G 2 * ... G ra . D v mod n 
ou a une relation du type, 

R> =D V / G x 61 . G 2 d2 . ... G m <ta . modn , 
les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R re?u, 
cas ou le demonstrateur a transmis Fintegralite de chaque engagement 
R 

dans le cas ou les moyens de transmission du demonstrateur ont transmis 
Tintegralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
Gi, G 2y ... G m , verifient que chaque engagement R satisfait a une relation 
du type : 

R= G x . G 2 **. ... G m . D v mod n 

ou a une relation du type, 

R s D Y / Gx dl . G 2 d2 . ... G m dm . modn . 
8. Systeme selon la revendication 6 destine a prouver a une entite 
appelee controleur Fintegrite d'un message M associe a une entite appelee 
demonstrateur, 

ledit systeme etant tel qu'il comporte 

- un dispositif demonstrateur associe a T entite demonstrateur, ledit 
dispositif demonstrateur etant interconnects au dispositif temoin par des 
moyens d'interconnexion et pouvant se presenter notamment sous la forme 
de microcircuits logiques dans un objet nomade par exemple sous la forme 
d'un microprocesseur dans une carte bancaire a microprocesseur, 

- un dispositif controleur associ6 a 1* entite controleur, ledit dispositif 
controleur se presentant notamment sous la forme d'un terminal ou d'un 
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serveur distant, ledit dispositif controleur comportant des moyens de 
connexion pour le connecter electriquement; ^lectromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un r6seau de 
communication informatique, au dispositif demonstrateur ; 
5 ; ledit systeme pennettant d'ex£cuter les etapes suivantes : 

• etape 1 : acte d'engagement R 

a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 1 , 
10 le dispositif temoin comporte des moyens de transmission, ci-apres 

designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d'interconnexion, 

• etape 2 : acte de defi d 

15 le dispositif demonstrateur comporte des moyens de calcul, ci-apres 

designes les moyens de calcul du demonstrateur, appliquant une fonction de 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R, pour calculer au moins un jeton T, 
le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 

20 apres designes les moyens de transmission du dispositif demonstrateur, 

pour transmettre chaque jeton T, via les moyens de connexion, au dispositif 
controleur, 

le dispositif controleur comporte aussi des moyens de production de defis 
pour produire, apres avoir re9U le jeton T, des defis d en nombre egal au 
2§ nombre d' engagements R* 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du controleur, pour transmettre les 
d&fis d au demonstrateur, via les moyens de connexion ; 

• etape 3 : acte de reponse D 
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les moyens de reception des defis d du dispositif t&noin, re?oivent chaque 
d6fi d provenant du dispositif demonstrateur, via les moyens 
d'interconnexion, 

les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 1, 

• etape 4 : acte de controle 
les moyens de transmission du demonstrateur transmettent chaque reponse 
D au controleur, 

le dispositif controleur comporte aussi des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif controleur, disposant des m 
valeurs publiques G ly G 2 , G m , pour d'une part, calculer a partir de 
chaque defi d et de chaque reponse D un engagement reconstruit R' 
satisfaisant a une relation du type : 

R' = G x dl . G 2 ^ ... G m . D v mod n 
ou a une relation du type : 

R , sD v /Gi dl .G 2 da ....G ai dI11 . modn 
puis d' autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R% un jeton T% 

le dispositif controleur comporte aussi des moyens de comparaison, ci-apres 
design6s les moyens de comparaison du dispositif controleur, pour 
comparer le jeton calcule T ? au jeton T regu. 

9. Systeme selon la revendication 6 destine a produire la signature 
numerique d'un message M, ci-apres designe le message signe, par une 
entite appelee entite signataire ; 
le message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 
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- les reponses D ; 
Operation de signature 

ledit systeme etant tel qu'il comporte un dispositif signataire associe & 
Pentite signataire, ledit dispositif signataire etant interconnects au dispositif 
5 temoin par des moyens d'interconnexion et pouvant se presenter notamment 

sous la forme de microcircuits logiques dans un objet nomade par exemple 
sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur, 

ledit systeme permettant d'executer les etapes suivantes : 
io • etape 1 : acte d'engagement R 

a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-apres 
!5 designes les moyens de transmission du dispositif temoin, pour transmettre 

tout ou partie de chaque engagement R au dispositif signataire, via les 
moyens d'intexconnexion, 

• etape 2 : acte de defi d 

le dispositif signataire comporte des moyens de calcul, ci-apres designes les 
20 moyens de calcul du dispositif signataire, appliquant une fonction de 

hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R, pour calculer un train binaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d* engagements R, 

• etape 3 : acte de reponse D 

26 les moyens de reception des defis d du dispositif temoin, re9oivent chaque 

defi d provenant du dispositif signataire, via les moyens d'intercormexion, 
les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 1, 
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le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
les reponses D au dispositif signataire, via les moyens d'interconnexion, 

10. Systdme selon la revendication 9 destine a prouver Pauthenticite 
5 du message M en controlant, par une entite appelee controleur, le message 

signe; 

Operation de controle 

ledit systeme etant tel qu'il comporte im dispositif controleur associe a 
T entite controleur, ledit dispositif controleur se presentant notamment sous 

10 la forme d'un terminal ou d'un serveur distant, ledit dispositif controleur 

comportant des moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique, notamment 
via un reseau de communication informatique, au dispositif signataire ; 
le dispositif signataire associe a F entite signataire comporte des moyens de 

15 transmission, ci-apres designes les moyens de transmission du dispositif 

signataire, pour transmettre au dispositif controleur, le message signe, via 
les moyens de connexion, de telle sorte que le dispositif controleur dispose 
d'un message signe comprenant : 

- le message M, 

20 - les defis d et/ou les engagements R, 

- les reponses D ; 

le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

25- - des moyens de comparaison, ci-apres designes les moyens de 

comparaison du dispositif controleur, 

* cas oix le dispositif controleur dispose des engagements R, des d£fis d, 
des reponses D, 

dans le cas ou le dispositif controleur dispose des engagements R, des defis 
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d y des reponses D, 

• • les moyens de calcul et de comparaison du dispositif controleur 
v&ifient que les engagements R, les d&fis d et les reponses D satisfont a des 
relations du type 

R = d dl . G 2 * ... G m *■ . D v mod n 

ou a des relations du type : 

RsDVG/.Gj^ ... G m dm . modB 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d = h (message, R) 

• cas ou le dispositif controleur dispose des defis d et des reponses D 

dans le cas ou le dispositif controleur dispose des defis d et des reponses D, 

• • les moyens de calcul du dispositif controleur calculent, a partir de 
chaque defi d et de chaque reponse D, des engagements R ? satisfaisant a 
des relations du type ; 

R' = G x . G 2 d2 . ... G m *» . D v mod n 
ou a des relations du type : 

R'=D v /G 1 dl .G 2 d2 ....G ni dm . modn 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M et les defis d satisfont a la fonction de hachage 

d = h (message, R') 

• cas ou le dispositif controleur dispose des engagements R et des 
reponses D 

dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, 

• • les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d ? tel que 

d' = h (message, R) 
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• • les moyens de calcul et de comparaison du dispositif contrdleur 
verifient que les engagements R, les defis d 9 et les reponses D 5 satisfont k 
des relations du type : 

R= Gx « . G 2 « ... G m d m . D v mod n 
ou a des relations du type : 

R = D V / G x n . G 2 d2 . ... G m dm . mod n 
11. Dispositif terminal associe a une entite, se presentant notamment 
sous la forme d'un objet nomade par exemple sous la forme d'une carte 
bancaire a microprocesseur, destine a prouver a un dispositif controleur, 

- Fauthenticite de Fentite et/ou 

- Fintegrite d'un message M associe a cette entite, 
au moyen 

- de m couples de valeurs privees Q l9 Q 2 , ... Q m et publiques G l9 G 2 , 
• G m , m etant superieur ou egal a 1, ou des parametres derives de ceux-ci, 

- d'un module public n constitue par le produit de f facteurs premiers 
Pi? P2> * Pf > f etant superieur ou egal a 2 ; 

ledit module et lesdites valeurs etant lies par des relations du type : 

Gj . Qi V s 1 . mod n ou Gt = Q^mod n ; 
v designant un exposant public tel que : 

v = 2 k 

ou k est un parametre de securite plus grand que 1 ; 

ladite valeur publique Gi etant le carre d'un nombre de base g x inferieur 
aux f facteurs premiers p l9 p 2? ... p f ; le nombre de base g £ etant tel que les 
conditions suivantes sont satisfaites: 

aucune des deux equations : 

x 2 = gj mod n et x 2 = - gi mod n 
n'a de solution en x dans Fanneau des entiers modulo n 
et tel que : 

T equation : 
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x v = gi 2 mod n 
a des solutions en x dang Fanneau des entiers modulo n ; 
ledit dispositif terminal comprend un dispositif temoin comportant, 

- une zone memoire contenant les f facteurs premiers Pi et/ou les 
5 parametres des restes chinois des facteurs premiers et/ou le module public n 

et/ou les m valeurs privees Q t et/ou les f.m composantes Q Uj (Q ifi = Qi mod 
Pj) des valeurs privees Qi et Fexposant public v ; 
ledit dispositif temoin comporte aussi 

- des moyens de production d'aleas, ci-apres designes les moyens de 
io production d'aleas du dispositif temoin,, 

- des moyens de calculi ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
Fanneau des entiers modulo n ; chaque engagement etant calcule : 

• soit en effectuant des operations du type 
is R = r v mod n 

ou r est un alea produit par les moyens de production d'aleas, r etant tel que 
0<r<n, 

• soit en effectuant des operations du type 

Rj = r^mod pj 

20 ou Ti est un alea associe au nombre premier pi tel que 0 < ij < pj , chaque r s 

appartenant a une collection d'aleas {r x , r 2 9 ... r f } produits par les moyens 
de production d'aleas, puis en appliquant la methode des restes chinois ; 
ledit dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 
25 des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d ; 

chaque defi d comportant m entiers d* ci-apres appeles defis elementaires ; 

- des moyens de calcul, ci apres design6s les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D, 
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• soit en effectuant des operations du type : 

Dsr.Qx^.Qa 112 ..-. Q m dm modn 

• soit en effectuant des operations du type : 

Di = *i . Qu dl . * •» Qun *" mod r 

puis en appliquant la methode des restes chinois, 

- des moyens de transmission pout transmettre un ou phisieurs 
engagements R et une ou plusieurs reponses D ; 

il y a autant de reponses D que de defis d que d' engagements R, chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}, 

12. Dispositif terminal selon la revendication 11 destine a prouver 
F authenticity d'une entite appelee demonstrateur a une entite appelee 
controleur, 

ledit dispositif terminal etant tel qu'il comporte un dispositif demonstrateur 
associe a 1' entite demonstrateur, ledit dispositif demonstrateur etant 
interconnect^ au dispositif temoin par des moyens d'interconnexion et 
pouvant se presenter notamment sous la forme de microcircuits logiques 
dans un objet nomade par exemple sous la forme d'un microprocesseur 
dans une carte bancaire a microprocesseur, 

ledit dispositif demonstrateur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, au dispositif controleur associe a T entite controleur, ledit 
dispositif controleur se presentant notamment sous la forme d'un terminal 
ou d'un serveur distant ; 

ledit dispositif terminal permettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 
a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
selon la revendication 1 , 
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le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrates, via les 
moyens d' interconnexion, 

le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre tout ou partie de chaque engagement R au dispositif controleur, 
via les moyens de connexion ; 

• etapes 2 et 3 : acte de defi d, acte de reponse D 

les moyens de reception des defis d du dispositif temoin, re?oivent chaque 
defi d provenant du dispositif controleur via les moyens de connexion entre 
le dispositif controleur et le dispositif demonstrateur et via les moyens 
d'interconnexion entre le dispositif demonstrateur et le dispositif temoin, 
les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 1, 

• etape 4 : acte de controle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au dispositif controleur qui procede au controle, 

13. Dispositif terminal selon la revendication 1 1 destine a prouver a 
une entite appelee controleur Pintegrite d'un message M associe a une 
entite appel6e demonstrateur, 

ledit dispositif te rminal etant tel qu'il comporte un dispositif demonstrateur 
associe a V entite demonstrateur, ledit dispositif demonstrateur etant 
interconnecte au dispositif temoin par des moyens d'interconnexion et 
pouvant se presenter notamment sous la forme de microcircuits logiques 
dans un objet nomade par exemple sous la forme d'un microprocesseur 
dans une carte bancaire a microprocesseur, 

ledit dispositif demonstrateur comportant des moyens de connexion pour le 
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connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, au dispositif controles associe a Fentite controles, ledit 
dispositif controlenr se presentant notamment sons la forme d'un terminal 
5 ou d'un serveur distant ; 

ledit dispositif terminal permettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 
a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 

io selon la revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrates, via les 
moyens d'interconnexion, 

15 • etapes 2 et 3 : acte de defi d, acte de reponse D 

le dispositif demonstrates comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du demonstrates, appliquant une fonction de 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R, pour calculer au moins un jeton T, 

20 le dispositif demonstrates comporte aussi des moyens de transmission, ci- 

apres designes les moyens de transmission du dispositif demonstrates, 
pour transmettre chaque jeton T, via les moyens de connexion, au dispositif 
controles, 

ledit dispositif controles produit, apres avoir re<?u le jeton T, des defis d en 
25 nombre egal au nombre d' engagements R, 

les moyens de reception des defis d du dispositif temoin, repoivent chaque 
defi d provenant du dispositif controleur via les moyens de connexion entre 
le dispositif controleur et le dispositif demonstrates et via les moyens 
d'interconnexion entre le dispositif demonstrates et le dispositif temoin, 
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les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 1, 

• etape 4 : acte de controle 

5 les moyens de transmission du demonstrateur transmettent chaque reponse 

D au dispositif controleur qui procede au controle. 

14, Dispositif terminal selon la revendication 1 1 destin6 a produire la 
signature mimerique d'un message M, ci-apres designe le message signe, 
par une entite appelee entite signataire ; 
10 le message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 

ledit dispositif terminal etant tel qu'il comporte im dispositif signataire 
15 associe a Tentite signataire, ledit dispositif signataire etant interconnecte au 

dispositif temoin par des moyens d'intercoimexion et pouvant se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur, 

20 ledit dispositif signataire comportant des moyens de connexion pour le 

connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, au dispositif controleur associe a Tentite controleur, ledit 
dispositif controleur se presentant notamment sous la forme d'un terminal 
25 ou d'un serveur distant ; 

Operation de signature 

ledit dispositif terminal permettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

a chaque appel, les moyens de calcul des engagements R du dispositif 
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temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 1 , 

le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif signataire, via les 
moyens d'iuterconnexion, 

• etape 2 : acte de defi d 

le dispositif signataire comporte des moyens de calcul, ci-apres designes les 
moyens de calcul du dispositif signataire, appliquant une fonction de 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R, pour calculer un train binaire et extraire de ce train 
binaire des defis d en nombre 6gal au nombre d' engagements R, 

• etape 3 : acte de reponse D 

les moyens de reception des defis d du dispositif temoin, re^oivent chaque 
defi d provenant du dispositif signataire, via les moyens d' interconnexion, 
les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a paxtir des defis d en appliquant le processus specifie selon la 
revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
les reponses D au dispositif signataire, via les moyens d' interconnexion. 

15. Dispositif controleur, se presentant notamment sous la forme 
d'un terminal ou d'un serveur distant, associe a une entite controleur, 
destine a controler : 

- Fauthenticite d*une entite et/ou 

- Fintegrite d'un message M associe a cette entite, 
au moy en r 

- de m couples de valeurs publiques G l5 G 2 , ... G m ,m etant 
superieur ou egal a 1, 
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- d'un module public n constitue par le produit de f facteurs premiers 
Pi? T>29 • • • Pf , f superieur ou egal a 2, inconnus du dispositif controleur 
et de F entite controleur associe ; 

ledit module et lesdites valeurs etant lies par des relations du type : 
5 Q. Qi v = 1 •modnouG i sQ i v modn; 

ou Qj designe une valeur privee, inconnue du dispositif controleur, associee 

a la valeur publique Q , 

v designant un exposant public tel que 

v = 2 k 

10 ou k est un parametre de securite plus grand que 1 ; 

ladite valeur publique Gi etant le carre gj 2 d'un nombre de base gj inferieur 
aux f facteurs premiers p ls p 29 ... p* ; le nombre de base gj etant tel que les 
conditions suivantes sont satisfaites: 
aucune des deux equations : 
15 x 2 = g i modn et x 2 = -g i modn 

n'a de solution en x dans Fanneau des entiers modulo n 
T equation : 

x v = g 2 mod n 
a des solutions en x dans Fanneau des entiers modulo n ; 
20 16. Dispositif controleur selon la revendication 15 destine a prouver 

Fauthenticite d'une entite appelee demonstrateur a une entite appelee 
controleur ; 

ledit dispositif controleur comportant des moyens de connexion pour le 
connecter Slectriquement, electromagnetiquement, optiquement ou de 
2S maniere acoustique, notamment via un reseau de communication 

informatique, a un dispositif demonstrateur associee a Fentite 
demonstrateur ; 

ledit dispositif contrdleur pennettant d'executer les etapes suivantes : 
• etapes 1 et 2 : acte d'engagement R, acte de defi d 



FEUILLE MODIFI E 



FR 000000190 

91 



ledit dispositif controleur comporte aussi des moyens de reception de tout 
ou partie des engagements R provenant du dispositif demonstrates, via les 
moyens de connexion, 

le dispositif controleur comporte des moyens de production de defis pour 
produire, apres avoir regu tout ou partie de chaque engagement R, des defis 
d en nombre egal au nombre d' engagements R, chaque defi d comportant 
m entiers dj ci-apres appeles defis elementaires, 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du controleur, pour transmettre les 
defis d au demonstrates, via les moyens de connexion ; 

♦ etapes 3 et 4 : acte de reponse D, acte de controle 
ledit dispositif controleur comporte aussi : 

- des moyens de reception des reponses D provenant du dispositif 
demonstrates, via les moyens de connexion 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

cas oil le demonstrates a transmis une partie de chaque engagement R 
dans le cas ou les moyens de reception du dispositif controleur ont re^us 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques G 1? G 2 , ... calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R> = G x dl . G 2 **. ... G m dm . D v modn 
ou a une relation du type, 

R> = D v / G x dl . G 2 d2 . ... G m dm . mod n , 
les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R re^u, 
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Base du rapport 

a. En ce qui concerne la langue, la recherche internationale a ete effectuee sur la base de la demande internationale dans la 
langue dans laquelle elle a ete deposee, sauf indication contraire donnee sous le meme point 



□ 



la recherche internationale a ete effectuee sur la base d'une traduction de la demande internationale remise a 1'administration. 



En ce qui concerne les sequences de nucleotides ou d'acldes amines divulguees dans la demande internationale (le cas echeant) 
la recherche internationale a ete effectuee sur la base du listage des sequences : 
I I contenu dans la demande internationale, sous forme ecrite. 

deposee avec la demande internationale, sous forme dechrffrable par ordinateur. 
remis urterieurement a 1'administration, sous forme ecrrte. 
remis urterieurement a 1'administration, sous forme dechrffrable par ordinateur. 



2. 
3. 



□ 
□ 
□ 
□ 

□ 

□ 
□ 



La declaration, selon laquelle le listage des sequences presente par ecrit et fourni urterieurement ne vas pas au-dela de la 
divulgation faite dans la demande telle que deposee, a ete fournie. 

La declaration, selon laquelle les informations enregistrees sous forme dechiffrable par ordinateur sont identiques a cedes 
du listage des sequences presente par ecrit, a ete fournie. 

II a ete estlme que certalnes revendlcatlons ne pouvalent pas falre lobjet d'une recherche (voir le cadre I). 
II y a absence d' unite de I'lnventlon (voir le cadre II). 



4. En ce qui concerne le tltre, 

1~X"| le texte est approuve tel qu'il a ete remis par le deposant. 

I [ Le texte a ete etabli par 1'administration et a la teneur suivante: 



En ce qui concerne I'abregg, 

□ 



I I le texte est approuve tel qu'il a ete remis par le deposant 

le texte (reproduit dans le cadre III) a ete etabli par ('administration conformement a la regie 38.2b). Le deposant peut 
presenter des observations a ('administration dans un delai d'un mois a compter de la date d'expedition du present rapport 
de recherche internationale. 

6. La figure des desslns a publier avec I'abrege est la Figure n° 



I I suggeree par le deposant. Aucune des figures 

□ . . _ * n ' est a publier. 

parce que le deposant n a pas suggere de figure. 

[ I parce que cette figure caracterise mieux I' invention. 
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Cadre III TEXTE DE L'ABREGE (suite du point 5 de la premiere feuille) 



Abrege 

La preuve est etablie au moyen des parametres suivants: 

- m couples de valeurs privees Q, et publiques P i( m>1 

- un module public n constitue par le produit de f facteurs premiers p„ f>2. 

- un exposant public v, 
lies par des relations du type: 

G ( . Q; =1 mod n ou G, = Q f v mod n. 
Ledit exposant v est tel que 

v = 2 k 

ou k>1 est un parametre de securite. 

Ladite valeur publique G, est le carre g t 2 d'un nombre de base g, inferieur aux f facteurs 
premiers p., tel que les deux equations: 

x 2 = g t mod n et x 2 = -g, mod n 
n'ont pas de solution en x dans I'anneau des entiers modulo n. et tel que ('equation 

x v = g 2 mod n 

a des solutions en x dans I'anneau des entiers modulo n. 
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une exposition ou tous autres moyens 

"P" document publie avant la date de depdt international, mais 
posterieurement a la date de priorite revendiquee 



"T" document ulterieur publie apres la date de depot international ou la 
date de priorite et n'appartenenant pas a I'etat de la 
technique pertinent, mais cite pour com prendre le principe 
ou la theorie constituant la base de I'invention 

"X" document particulierement pertinent; I'inven tion revendiquee ne peut 
etre consideree comme nouvelle ou comme impliquant une activite 
inventive par rapport au document considere isolement 

"Y" document particulierement pertinent; I'inven tion revendiquee 

ne peut etre consideree comme impliquant une activite inventive 
lorsque le document est associe a un ou plusieurs autres 
documents de meme nature, cette combinaison etant evidente 
pour une personne du metier 

"&" document qui fait parti e de la meme f ami He de brevets 



Date a laquelle la recherche intemationale a ete effectivement achevee 

28 mars 2000 


Date d'expedition du present rapport de recherche intemationale 

19/04/2000 


Nom et adresse postal e de I'a dm inist ration chargee de la recherche intemationale 
Office Europeen des Brevets, P,B. 5818 Patentlaan 2 
NL - 2280 HV Ri}swijk 
Tel. (+31-70) 340-2040. Tx. 31 651 epo nl. 
Fax: (+31-70)340-3016 


Fonctionnaire auto rise 

Masche, C 



Formulatre PCT/ISA/210 (deuxidme feuille) (juiilot 1992) 



page 1 de 2 



RAPPORT DE RECHMtHE INTERNATIONALE 



!e Internationale No 



PCT/FR 00/00190 



C.(sutte) DOCUMENTS CONSIDERES COM ME PERTINENTS 



Categorle ° Identification des documents cites, avecje cas echeant, rindlcatlondes passages pertinents 




no. des revendications visees 



/ab 

f CO 



EP 0 311 470 A (TELEDIFFUSION FSE ; FRANCE 
ETAT (FR); PHILIPS NV (NL)) 
12 avril 1989 (1989-04-12) 

te dans la demande 
abrege 

colonne 12, ligne 30 -colonne 13, ligne 55 



1,6,11, 
15 



QUISQUATER J -J ET AL: "FAST DECIPHERMENT 
ALGORITHM FOR RSA PUBLIC-KEY CRYPTOSYSTEM" 
ELECTRONICS LETTERS, 
vol. 18, no. 21, 

14 octobre 1982 (1982-10-14), pages 
905-907, XP000577331 

ISSN: 0013-5194 
page 906, colonne de gauche, ligne 32 - 
ligne 61 



1,6,11 



Form u lair e PCT/ISA/210 (suite de la deuxieme feuille) (juitlet 1992) 



page 2 de 2 



INTER 

Inform! 



rma^Wi on 



NAL SEARCH REPORT 

on patent family members 



PCT/FR 



al Application No 

FR 00/00190 



Patent document 


Publication 




Patent family 




Publication 


cited in search report 


date 




member(s) 




date 


EP 0792044 A 


27-08-1997 


JP 


10247905 


A 


14-09-1998 






US 


rAO"71 <1 A 

5987134 


A 


16-11-1999 


W0 9633567 A 


24-10-1996 


FR 


2733378 


A 


25-10-1996 






FR 


2733379 


A 


25-10-1996 






EP 


0766894 


A 


09-04-1996 






JP 


10506727 


T 


30-06-1998 






US 


5910989 


A 


08-06-1999 


W0 8911706 A 


30-11-1989 


AU 


622915 


B 


30-04-1992 






AU 


3733589 


A 


12-12-1989 






CA 


1321649 


A 


24-08-1993 






EP 


0374225 


A 


27-06-1990 






JP 


2504435 


T 


13-12-1990 






US 


4935962 


A 


19-06-1990 


EP 03H470 A 


12-04-1989 


FR 


2620248 


A 


10-03-1989 






AT 


83573 


T 


15-01-1993 






AU 


2197188 


A 


23-03-1989 






CA 


1295706 


A 


11-02-1992 






DE 


3876741 


A 


28-01-1993 






FI 


884082 


A,B, 


08-03-1989 






JP 


1133092 


A 


25-05-1989 






KR 


9608209 


B 


20-06-1996 






US 


5218637 


A 


08-06-1993 






US 


5140634 


A 


18-08-1992 



Form PCT/ISA/210 (patent famiJy annex) (July 1992) 



TRAITE D 



E^^OPERATION EN MATIERE DE 

PCT 



IVETS 



RAPPORT DE RECHERCHE INTERNATIONALE 
(article 18 et regies 43 et 44 du PCT) 



Reference du dossier du deposant ou 
du mandataire 

5972. WO 


POUR SUITE voir ,a notification de transmission du rapport de recherche internationale 
(formulaire PCT/ISA/220) et, le cas echeant, le point 5 ci-aores 

A DONNER 


Demande internationale n° 
PCT/FR 00/00190 


Date du depot internationaltfour/mo/s/annee,) 

27/01/2000 


(Date de priority (la plus ancienne) 
(jour/mois/annee) 

27/01/1999 


Deposant 

FRANCE TELECOM et al . 



Le present rapport de recherche internationale, etabli par radministration chargee de la recherche internationale, est transmis au 
deposant conformement a I'article 18. Une copie en est transmise au Bureau international. 

Ce rapport de recherche internationale comprend 4 feuilles. 

PH 'I est aussi accompagne d'une copie de chaque document relatif a I'etat de la technique qui y est cite\ 



1. Base du rapport 

a. En ce qui concerne la fangue, la recherche internationale a ete effectuee sur la base de la demande internationale dans la 
langue dans laquelle elle a ete deposee, sauf indication contraire donnee sous le meme point. 

I | la recherche internationale a ete effectuee sur la base d'une traduction de la demande internationale remise a radministration. 

b. En ce qui concerne les sequences de nucleotides ou d'acides amines divulguees dans la demande internationale (le cas echeant) 
la recherche internationale a ete effectuee sur la base du listage des sequences : 

| | contenu dans la demande internationale, sous forme ecrite. 

| | deposee avec la demande internationale, sous forme d^chiffrable par ordinateur. 

| | remis ulteYieurement a radministration, sous forme ecrite. 

| | remis ulteneurement a radministration, sous forme d^chiffrable par ordinateur. 

I I La declaration, selon laquelle le listage des sequences presente par ecrit et fourni ulterieurement ne vas pas au-dela de la 
divulgation faite dans la demande telle que deposee, a ete fournie. 

I | La declaration, selon laquelle les informations enregistrees sous forme dechiffrable par ordinateur sont identiques a celles 
du listage des sequences presente par ecrit, a et6 fournie. 

2- II a ete estime que certain es r even dicat ions ne pouvaient pas faire I'objet d'une recherche (voir le cadre I). 

3 " [Z] " y a absenc © d'unite de I'invention (voir le cadre II). 

4. En ce qui concerne le titre, 

PH le texte est approuve tel qu'il a ete remis par le deposant. 

[ | Le texte a ete etabli par radministration et a la teneur suivante: 



5. En ce qui concerne I'abrege, 

| | le texte est approuve tel qu'il a ete remis par le deposant 

mle texte (reproduit dans le cadre III) a ete etabli par radministration conformement a la regie 38.2b). Le deposant peut 
presenter des observations a radministration dans un d6lai d'un mois a compter de la date d'expedition du present rapport 
de recherche internationale. 

6. La figure des dessins a publier avec I'abrege^ est la Figure n° 



I I suggeree par le deposant. Q Aucune des figures 

| | parce que le deposant n'a pas suggere de figure. n est ^ P ublier 

| | parce que cette figure caracterise mieux I'invention. 



Formulaire PCT/ISA/210 (premiere feuille) (juillet 1998) 



XSSA2B592310 HA 

RAPPORT DE RECHERGg^lNTERNATlONALE ^BjPCT/ FR 00/ 00190 



Cadre HI TEXTE DE L'ABREGE (suite du point 5 de la premiere feuille) 



Abrege 

La preuve est etablie au moyen des parametres suivants: 

- m couples de valeurs privees et publiques P jf m>1 

- un module public n constitue par le produit de f facteurs premiers p„ f>2. 

- un exposant public v, 
lies par des relations du type: 

Gi . Q; =1 mod n ou G, = Q, v mod n. 
Ledit exposant v est tel que 

v = 2 k 

ou k>1 est un parametre de securite. 

Ladite valeur publique G, est le carre g 2 d'un nombre de base gi inferieur aux f facteurs 
premiers p., tel que les deux equations: 

x 2 - g, mod n et x 2 = -g, mod n 
n'ont pas de solution en x dans I'anneau des entiers modulo n, et tel que I'equation 

x v = g f 2 mod n 

a des solutions en x dans I'anneau des entiers modulo n. 



Formulairo PCT/1SA;21 0 (suite da la premier© feuille (2)) (Juiltet 1998) 
BNSDOCID: <XSSA26592310MA_I_> 



RAPPORT DE RE^gRCHE INTERNATIONALE 



ande Internationale No 

CT/FR 00/00190 



A. CLASSEMENT DE L'OBJET DE LA DEMANDE 

CIB 7 H04L9/32 



Selon la classification international des brevets (CIB) ou a la fois selon la classification nationale et la CIB 

B. DOMAINES SUR LESQUELS LA RECHERCHE A PORTE 

Documentation minimale consultee (systeme de classification suivi des symboles de classement) 

CIB 7 H04L 

Documentation consultee autre que la documentation minimale dans la mesure ou ces documents relevent des domaines sur lesquels a porte la recherche 



Base de donn^es electronique consultee au cours de la recherche internationale (nom de la base de donn^es, et si realisable, termes de recherche utilises) 



C. DOCUMENTS CONSIDERES COMME PERTINENTS 



Categorie ° 


Identification des documents cites, avec, le cas ech6ant, I'indication des passages pertinents 


no. des revendications visees 


X 
A 


EP 0 792 044 A (FUJI XEROX CO LTD) 
27 aoQt 1997 (1997-08-27) 

colonne 9, ligne 39 -colonne 12, ligne 38 
figure 3 


1,6,11, 

12,15 

2,7,16 


A 


W0 96 33567 A (GEMPLUS CARD INT ;NACCACHE 
DAVID (FR)) 24 octobre 1996 (1996-10-24) 

page 2, ligne 27 -page 4, ligne 12 
page 15, ligne 31 -page 18, ligne 17 


3,4,8,9, 

13,14, 

17,18 


A 


W0 89 11706 A (NCR CO) 

30 novembre 1989 (1989-11-30) 

page 10, ligne 2 -page 11, ligne 6 
page 12, ligne 21 -page 14, ligne 6 

-/-- 


3,4,8,9, 

13,14, 

17,18 



| X I Voir ,a suite du cadre C pour la fin de la liste des documents 



Les documents de families de brevets sont indiques en annexe 



° Categories speciales de documents cites: 

"A" document definissant I'Stat general de la technique, non 
considere comme particulierement pertinent 

"E" document anterieur, mats publie a la date de depot international 

ou apres cette date 
"L" document pouvant jeter un doute sur une revendication de 

priority ou cite* pour determiner la date de publication d'une 

autre citation ou pour une raison speciale (telle qu'indiquee) 
"O" document se re fe rant a une divulgation orale, a un usage, a 

une exposition ou tous autres moyens 
"P" document publie avant la date de depdt international, mais 

posterieurement a la date de priorite revendiquee 



"T" document ulterieur publie apres la date de depdt international ou la 
date de prior ft 6 et n'appartenenant pas a I'etat de la 
technique pertinent, mais cite pour comprendre le principe 
ou la theorie constituant la base de I'invention 

"X" document particulierement pertinent; I'inven tion revendiquee ne peut 
etre consideree comme nouvelle ou comme impliquant une activite 
inventive par rapport au document considdre isolement 

"Y" document particulierement pertinent; I'inven tion revendiquee 

ne peut etre consideree comme impliquant une activity inventive 
lorsque le document est associe a un ou plusieurs autres 
documents de meme nature, cette combinaison 6tant evidente 
pour une personne du m6tier 

"&° document qui fait partie de la meme famille de brevets 



Date a laquelle la recherche internationale a ete effectivement achevee 

28 mars 2000 


Date d' expedition du present rapport de recherche internationale 

19/04/2000 


Nom et adresse postale de ('administration chargee de la recherche internationale 
Office European des Brevets, P.B. 5618 Patent la an 2 
NL - 2280 HV Rijswijk 
Tel. (+31-70) 340-2040, Tx. 31 651 epo nf, 
Fax: (+31-70) 340-3016 


Fonctionnaire auto rise 

Masche, C 



Formulaire PCT/ISA/210 (cteuxfeme feuille) (juiilot 1992) 



page 1 de 2 



RAPPORT DE RE 



RCHE INTERNATIONALE 



ande Internationale No 

CT/FR 00/00190 



C.(sulte) DOCUMENTS CONSIDERES COMME PERTINENTS 



Categorie " Identification des documents cites, avec,le cas echeant. I'indicationdes passages pertinents 



no. des revendications visees 



EP 0 311 470 A (TELEDIFFUSION FSE ; FRANCE 

ETAT (FR); PHILIPS NV (NO) 

12 avril 1989 (1989-04-12) 

cite dans la demande 

abrege 

colonne 12, ligne 30 -colonne 13, Hgne 55 

QUISQUATER J -J ET AL: "FAST DECIPHERMENT 
ALGORITHM FOR RSA PUBLIC-KEY CRYPTOSYSTEM" 
ELECTRONICS LETTERS, 
vol. 18, no. 21, 

14 octobre 1982 (1982-10-14), pages 
905-907, XP000577331 

ISSN: 0013-5194 
page 906, colonne de gauche, ligne 32 - 
ligne 61 



1,6,11, 
15 



1,6,11 



Formulair© PCT/IS A/210 (suite de la deuxieme feuille) (juillet 1992) 



page 2 de 2 



ESNATIONAL SEARCH REPORT 

^^^k ^^^M national Application 

^^■ation on patent family members 

|?CT/FR 00/001< 



Patent document 
cited in search report 


Publication 
date 


Patent family 
member(s) 


Publication 
date 


EP 0792044 A 


27-08-1997 


JP 


10247905 


A 


14-09-1998 






US 


5987134 


A 


16-11-1999 


WO 9633567 A 


24-10-1996 


FR 


2733378 


A 


25-10-1996 






FR 


2733379 


A 


25-10-1996 






EP 


0766894 


A 


09-04-1996 






JP 


10506727 


T 


30-06-1998 






US 


5910989 


A 


08-06-1999 



WO 


8911706 


A 


30-11- 


1989 


AU 


622915 B 


30-04-1992 












All 
















CA 


1321649 A 


24-08-1993 












EP 


0374225 A 


27-06-1990 












JP 


2504435 T 


13-12-1990 












US 


4935962 A 


19-06-1990 


EP 


0311470 


A 


12-04- 


1989 


FR 


2620248 A 


10-03-1989 












AT 


83573 T 


15-01-1993 












AU 


2197188 A 


23-03-1989 












CA 


1295706 A 


11-02-1992 












DE 


3876741 A 


28-01-1993 












FI 


884082 A,B, 


08-03-1989 












JP 


1133092 A 


25-05-1989 












KR 


9608209 B 


20-06-1996 












US 


5218637 A 


08-06-1993 












US 


5140634 A 


18-08-1992 



Form PCT/ISA/210 (patent family annex) (July 1992) 



TRAITE^^ COOPERATION EN MATIERE REVETS 

Exp6diteur : L'ADMINISTRATION CHARGEE DE 

LA RECHERCHE INTERNATIONALE HAT 


Destinataire 

Cabinet Patrice VIDON 

A Tatt. de VIDON, P. 

Immeuble Germanium 

80 Avenue des Buttes de Coesmes 

F-35700 Rennes 


- — - ■-- ■ ^h, mm 

NOTIFICATION DE TRANSMISSION DU 
RAPPORT DE RECHERCHE INTERNATIONALE 
OU DE LA DECLARATION 

(r&gle 44.1 du PCT) 


Date d'expedition 

(Jour/mois/annSe) 19/04/2000 


Reference du dossier du deposant ou du mandataire 

5972. WO 


POUR SUITE A DONNER 

voir les paragraphes 1 et 4 ci-apres 


Demands international© n° 

PCT/FR 00/00190 


Date du depot intemationaJ 
(jour/mois/annSe) jq j /2000 


Deposant 

FRANCE TELECOM et al . 





1 . fx] II est notifie au deposant que le rapport de recherche intemationale a 6te etabli et fui est transmis d-joint. 



Depdt de modifications et d'une declaration selon I 'article 19 : 

Le deposant peut, s'il le souharte, modifier les revendications de la demande intemationale (voir la regie 46): 

Quand? Le delai dans lequel les modifications doivent etre deposees est de deux mois a compter de la date de 
transmission du rapport de recherche intemationale ; pour plus de precisions, voir cependant les notes 
figurant sur la feu ill e d'accompagnement. 

Ou? Directement aupres du Bureau international de I'OMPI 

34, chemin des Colombettes 
121 1 Geneve 20, Suisse 
n° de telecopies: (41-22)740.14.35 

Pour des Instructions plus detail lees, voir les notes sur la feu i lie d'accompagnement. 
2. I I II est notifie au deposant qu'il ne sera pas etabli de rapport de recherche intemationale et la declaration a cet effet, prevue 
' — ' a I'article 1 7.2)a), est transmise ci— joint. 



□ En ce qui concerns la reserve pouvant etre formulee, conformement a la regie 40.2, a l'6gard du paiement d'une ou 
de plusieurs taxes additionneltes, il est notifie au deposant que 

□ la reserve ainsi que la decision y relative ont£t£ transmises au Bureau international en meme temps que la requete 
du cteposant tendant a ce que le texte de la reserve et celui de la decision en question soient notifies aux offices 
designed. 

| | la reserve n'a encore fait I'objet d'aucune decision; des qu'une decision aura ete prise, le deposant en sera avise. 
Mesure(s) consecutlve(s) : II est rappele au deposant ce qui suit 

Peu apres I'expiration d'un delai de 18 mole a compter de la date de priorite, la demande Internationale sera publiee par le 
Bureau international. Si ie deposant souhaite evrter ou differer la publication, il doit fairs parvenlr au Bureau international 
une declaration de retrart de la demande intemationale, ou de la revendication de priorite, conformement aux regies 
90bisA et 90 bis. 3, respectivement, avant I'achevement de la preparation technique de la publication intemationale. 

Dans un delai de/19 mols a compter de la date de priorite, le deposant doit presenter la demande d'examen preliminaire 
international s'il souharte que I'ouverture de la phase nationale soit reportee a 30 mois a compter de la date de priorite" 
(ou meme au-dela dans certains offices). 

Dans un delai de 20 mols a compter de la date de priorite, le deposant doit accomplir les demarches preserves pour I'ouverture 
de la phase nationale aupres de tous les offices designes qui n'ont pas et6 61 us dans la demande d'examen preliminaire 
international ou dans une election ulterieure avant I'expiration d'un delai de 19 mois a compter de la date de priorite ou 
qui ne pouvaient pas etre 6lus parce quits ne sont pas lies par le chaprtre II. 





Norn et adresse postale de I'administration chargee de la 
recherche intemationale 

wv Office European des Brevets, P.B. 5618 Patentiaan 2 
JOft NL-2280 HV Rijswijk 
QjU Tel. (+31-70) 340-2040, Tx. 31 651 epo nl, 
Fax: (+31-70) 340-3016 


Fonctionnaire autorise 

Hans Pettersson 



Formulaire PCT/ISA/220 (|uillet 1998) (Voir les notes sur la feuille d'accompagnement) 



L^^ELATIVES AU FORMULAIRE PCT/l^j^C 



Les pre sent es notes sont destinees a donner !es instructions essentielles concernant le depot de modifications selon 
I' article 19. Lea notes sont f on dees sur les exigences du Trarte de cooperation en matiere de brevets (PCT), du reglemerrt 
d'execution et des instructions admin istratives du PCT. En cas de divergence entre les presentes notes et ces exigences, ce sont 
ces demieres qui priment. Pour de plus am pies renseignements, on peut aussi consulter le Guide du deposant du PCT, qui est une 
publication de COM PI. 

Dans les presentes notes, les termes "article", "regie" et Instruction" renvoierrt aux dispositions du traite, de son reglement 
d'execution et des instructions administratives du PCT, respectivement. 

INSTRUCTIONS CONCERNANT LES MODIFICATIONS SELON U ARTICLE 19 

Apres reception du rapport de recherche Internationale, le deposant a la possibility de modifier une fois les revendications 
de la demande Internationale. On notera cependarrt que, comme toutes les parties de la demande Internationale (revendications, 
description et dessins) peuvent etre modifiees au cours de la procedure d'examen prelim in aire international, il n'est generaJement 
pas necessaire de deposer de modifications des revendications selon ('article 1 9 sauf, par exemple, au cas 0C1 le deposant so uh arte 
que ces demieres soient pubiiees aux fins d'une protection prqyisoire ou a une autre raison de modifier les revendications avarrt 
la publication intemationaJe. En outre, il convient de rappeler que Contention d'une protection proviso ire n'est possible que dans 
certains Etats. 

Quelle* parties de la demande Internationale peuvent etre modifiees? 

Selon ('article 19, les revendications exclusivement. 

Durant la phase Internationale, les revendications peuvent aussi etre modifiees (ou modifiees a nouveau) selon 

('article 34 auprds de ('administration charge© de I'examen preliminaire intemationaJ. La description et les dessins 

ne peuvent etre modifiees que selon I'article 34 aupres de I 'administration chargee de I'examen preliminaire international. 

Lore de I'ouverture de la phase naiionale, toutes les parties de la demande intemationaJe peuvent etre modifiees selon 
('article 28 ou, le cas echeant, selon ('article 41 . 

Quand? Dans un delai de deux mois a compter de la date de transmission du rapport de recherche intemationaJe ou de 16 mots 

a compter de la date de priority, selon I'echeance la plus tardive. II convient ce pendant de noter que les modifications 
seront re pu tees avoir ete recues en temps voulu si elles parviennent au Bureau international apres ('expiration du delai 
applicable mais avant I'achevement de la preparation technique de la publication Internationale (regie 46.1). 



Oil ne pas deposer les modifications? 

Les modifications ne peuvent etre deposees qu 'aupres du Bureau intemationaJ; elles ne peuvent etre deposees nt 
aupres de ('office recepteur ni aupres de ('administration chargee de la recherche intemationaJe (regie 46.2). 

Lorsqu'une demande d'examen preliminaire international a ete/est depose e, voir plus loin. 

Comment? Soit en suppnmant erttierement une ou plusieurs revendications, soit en ajoutant une ou plusieurs revendications 
nouveltes ou encore en modifiant le texte d'une ou de plusieurs des revendications telles que deposees. 

Une feu ill© de remplacement doit etre remise pour chaque feuille des revendications qui, en raison d'une ou de 
plusieurs modifications, differe de ta feuille initiaJement deposee. 

Toutes les revendications figurant sur une feuille de remplacement doivent dtre numerotees en chiffres arabes. St 
une revendtcation est supprimee, il n'est pas obligatoire de renumeroter les autres revendications. Chaque fois que 
des revendications sont renumerot^es, elles doivent ('etre de facon continue (instruction 205. b)). 

Les modifications doivent dtre effectuees dans la langue dans laquelle la demande Internationale est pubtlee. 

Quels documents dolvent/peuvent accompagner les modifications? 
Lettre (Instruction 20 5. b)): 

Les modifications doivent dtre accompagnees d'une lettre. 

La lettre ne sera pas pubfiee avec la demande international et les revendications modifiees. Elte ne doit pas etre 
confondue avec la "declaration selon ('article 19.1)" (voir plus loin sous "Declaration selon ('article 19.1)"). 

La lettre doit etre red! gee en anglais ou en francals, au cholx du deposant. Cependant, si la langue de la demande 
Internationale est I'anglais, la lettre dolt etre redlgee en anglais; si la langue de la demande Internationale est le 
francals, la lettre dott etre redlgee en francals. 



Notes relatives au formulaire PCT/ISA/220 (premiere feuille) (Janvier 1994) 




ELATIVES AU FORMULAIRE PCT/I 



0 (suite) 



La lettre doit indiquer les differences exist ant entre les revendications telles que deposees et les revendications telles 
que modifiees. Etle dort indiquer en particulier, pour chaque reven dication figurant dans ta demande intern at ion ale 
(etant entendu que des indications identiques concemant pluaieurs revendications peuvent etre groupers), si 



Les examples sulvants Mtustrent la manlere dont les modifications doivent etre expllquees dans la lettre 
d'accompagnement: 

1 . [Lorsque le nombre des revendications deposees initialement selevart a 48 et qu'a la suite d'une modification de 
oertaines revendications it s'eleve a 51] 

"Revendications 1 a 15 remplacees par les revendications modifiees port ant les mimes numeros; revendications 
30, 33 et 36 pas modifiees; nouvelles revendications 49 a 51 ajoutees.'* 

2. [Lorsque le nombre des revendications deposees inrtialement s elevart a 1 5 et qu'a la suite dune modification de 
toutes les revendications il s'eleve a 1 1]: 

Revendications 1 a 15 remplacees par les revendications modifiees 1 a 1 1 ." 

3. [Lorsque le nombre des revendications deposees initialement s'eMevait a 14 et que les modifications consistent a 
supprimer oertaines revendications et a en ajouter de nouvelles]: 

"Revendications 1 a 6 et 1 4 pas modifiees; revendications 7 a 1 3 supprimees; nouvelles revendications 1 5,1 6 et 
17 ajoutees." ou 

"Revendications 7 a 13 supprimees; nouvelles revendications 15, 16 et 17 ajoutees, toutes les autres revendications 
pas modifiees." 



4. [Lorsque pluaieurs sortes de modifications sont faites]: 

"Revendications 1-10 pas modifiees; revendications 11 a 1 3, 18 et 19 supprimees; revendiations 14, 15 et 16 
remplaeees par la revendication modifiee 14; revendication 17 divisee en revendications modifiees 15, 16 et 1 7; 
nouvelles revendications 20 et 21 ajoutees." 



"Declaration seton Particle 19.1)" (Regie 46.4) 

Les modifications peuvent etre accompagnees d'une declaration expliquant les modifications et precisant ('incidence 
que ces dernieres peuvent avoir sur la description et sur les dessins (qui ne peuvent pas etre modifies selon 
Tarticle 19.1)). 

La declaration sera puWiee avec la demande intern at ionale et les revendications modifiees. 
Elle dolt etre redlgee dans la langue dans laquetle la demandelntematlonale est publiee. 

Elle doit etre suoctncte (ne pas depasser 500 mots si elle est etablie ou traduite en anglais). 

Elle ne dort pas etre con fondue avec la lettre expliquant les differences exist ant entre les revendications telles que 
deposees et les revendications telles que modifiees, et ne la rem place pas. Elle doit figurer sur une feuilte distincte et 
doit etre munie d'un titre permettant de I'identifier comme telle, constitue^ de preference des mots "Declaration selon 
I'artioie 19.1)* 

Elle ne doit contenir aucun commentaire denigrant relatif au rapport de recherche Internationale ou a la pertinence des 
citations que ce dernier contient. Elle ne peut se referer a des citations so rapportant a une revendication donnee et 
contenues dans le rapport de recherche intemationaJe qu'en relation avec une modification de cette revendication. 



Si, au moment du depot de modifications effectuees en vertu de ('article 19, une demande d'examen preliminaire 
international a deja et6 presented, le deposant dort de preference, tors du depot des modifications aupres du Bureau 
international, deposer egalement une copie de ces modifications aupres de ('administration chargee de Texamen 
preliminaire intern alio nal (voir ta regie 62.2a), premiere phrase). 



Consequence au regard de la traduction de la demande Intematlonalelors de Co u vertu re de la phase nationals 



L'attention du deposant est appelee sur le fart qu'il peut avoir a remettre aux offices designes ou elus, lors de I'ouverture 
de la phase nationals, une traduction des revendications telles que modifiees en vertu de r article 1 9 au lieu de la 
traduction des revendications telles que deposees ou en plus de cette-ci. 



Pour plus de precisions sur les exigences de chaque office designe ou e!u, voir le volume II du Guide du deposant 
du PCT. 



i) 

ii) 

iii) 

iv) 

v) 



la revendication n'est pas modifiee, 
la revendication est supprimee; 
la revendication est nouvelle; 

la revendication rem place une ou pluaieurs revendications tetles que deposees; 
la revendication est le resultat de la division d'une revendication telle-que deposee. 



Consequence du fait qu'une demande d'examen preliminaire International art deja ete presentee 



Notes relatives au formulaire PCT/ISA/220 (deuxieme feuille) (janvier 1994) 



TRAITE DE 



PERATION EN MAT! ERE DE B 

PCT 



RAPPORT DE RECHERCHE INTERNATIONALE 
(article 1 8 et regies 43 et 44 du PCT) 



Reference du dossier du deposant ou 
du mandataire 

5972. WO 


POUR SUITE voir la notification de transmission du rapport de recherche intemationale 
(formulaire PCT/ISA/220) et, le cas echeant, le point 5 ci-apres 

A DONNER 


Demande intemationale n° 

PCT/FR 00/00190 


Date du depot international (jour/mois/ann4e) 

27/01/2000 


(Date de priority (la plus ancienne) 
Qour/mois/ann6e) 

27/01/1999 


Deposant 

FRANCE TELECOM et al . 



Le present rapport de recherche intemationale, etabli par ('administration chargee de la recherche intemationale, est transmis au 
deposant conformement a ('article 16. Une copie en est transmise au Bureau international. 

Ce rapport de recherche Intemationale comprend 4 feuilles. 

[X| II est aussl accompagne d'une copie de chaque document relatrf a P6tat de la technique qui y est cite. 



' 1 . Base du rapport 

a. En ce qui conceme la langue, la recherche intemationale a ete effectuee sur ta base de la demande intemationale dans la 
langue dans laquelle elle a ete deposee, sauf indication contraire donnee sous le meme point. 



□ 



la recherche intemationale a ete effectuee sur la base d'une traduction de la demande intemationale remise a ('administration. 



b. En ce qui conceme les sequences de nucleotides ou d'actdes amines divulguees dans ta demande Internationale (te cas Echeant), 
la recherche intemationale a ete effectuee sur la base du listage des sequences : 
| | contenu dans la demande intemationale, sous forme 3c rite. 

deposee avec la demande intemationale, sous forme dechiffrable par ordinateur. 

remis urterieurement a ('administration, sous forme ecrite. 

remis ufterieurement a ('administration, sous forme dechiffrable par ordinateur. 

La declaration, selon laquelle le listage des sequences presente par ecrit et foumi urterieurement ne vas pas au-dela de la 
divulgation faite dans la demande telle que deposee, a ete foumie. 



2. 
3. 



□ 
□ 
□ 
□ 

□ 

□ 
□ 



La declaration, selon laquelle les informations enregistrees sous forme dechiffrable par ordinateur sont identiques a ceEles 
du listage des sequences presente par ecrit, a ete foumie. 

II a ete estlme que certalnes revendlcatlons ne pouvalent pas falre I'objet d'une recherche (voir le cadre I). 
II y a absence d'untte de ('Invention (voir le cadre II). 



En ce qui conceme le tltre, 

|"X"| le texte est approuve tel qu'il a ete remis par le deposant. 

| | Le texte a ete etabli par I'administration et a la teneur suivante: 



En ce qui conceme I f abreg6, 

j | le texte est approuve tel qu'il a ete remis par le deposant 

mle texte (reproduit dans le cadre III) a ete etabli par ('administration conformement a la regie 38.2b). Le deposant peut 
presenter des observations a I'administration dans un delai dun mois a compter de la date d'expedttion du present rapport 



de recherche intemationale. 
6. La figure des desslns a pubiier avec Tabrege est la Figure n° 



[ | suggeree par le deposant (""] Aucune des figures 

□ , , J „ n'est a pubiier. 

parce que le deposant n a pas suggere de figure. 

I I parce que cette figure caracterise mieux 1'invention. 



Formulaire PCT/ISA/210 (premiere feu i lie) Quillet 1998) 



•XSSA26592310 HA 

RAPPORT DE RECHERCHEJNTTERNAT1QNALE 



Cadre III TEXTE DE L ABREC 



ite du point 5 de la premiere feuille) 



Oemance ri^f .1:- -i n- 

CT/FR 00/OC190 



Abrege 

La preuve est etablie au moyen des parametres suivants: 

- rn couples de valeurs privees Q, et publiques P h m>1 ^ 

- un module public n constitue par le produit de f facteurs premiers. p., f>2. 

- un exposant public v, 
lies par des relations du type: 

G, . Q, v si mod n ou. G, = Q, tf mod n. 
Ledit exposant v est tel que 

v = 2 k 

ou k>1 est un parametre de securite. 

Ladite valeur publique G, est le carre g 2 d'un nombre de base g, inferieur aux f facteurs 
premiers p., tel que les deux equations: 

x 2 - g, mod n et x 2 = -g, mod n 
n'ont pas de solution en x dans I'anneau des entiers modulo n, et tel que I'equation 

x v = g, 2 mod n 

a des solutions en x dans I'anneau des entiers modulo n. 



Formulaire PCT/1S/V210 (suite de la premiere (euille {2)) (Juitlet 1998) 



RAPPORT DE RECHERCHE INTERNATIONALE 



A. CLASSEMENT DE L'OBJET DE LA DEMANDE 

CIB 7 H04L9/32 



Selon la classification Internationale dee brevets (CIB) ou a la fate seton la classification natlonafe et la CIB 



L ndo Internationale No 

FR 00/00190 



B. DOMAINES SUR LESQUELS LA RECHERCHE A PORTE 



Documentation minim ale consult ee (systems de classification survi dee symboles de classement) 

CIB 7 H04L 



Documentation consultee autre que la documentation mlnlmale dans la mesure ou ces documents relevant dee domaines eur (esq u els a porte la recherche 



Base de donneea electronkjue consultee au cours de la recherche Internationale (nom de la base de donnees, et si realisable, termes de recherche utilises) 



C. DOCUMENTS CONSIDERES COMME PERTINENTS 



Categorie * Identification des documents cites, avec, le cas 6ch6ant, PindicatJon dee passages pertinents 



no. des revendicatlons vteees 



EP 0 792 044 A (FUJI XEROX CO LTD) 
27 aoOt 1997 (1997-08-27) 

colonne 9, Hgne 39 -colonne 12, ligne 38 
figure 3 

WO 96 33567 A (GEMPLUS CARD INT ;NACCACHE 
DAVID (FR)) 24 octobre 1996 (1996-10-24) 

page 2, ligne 27 -page 4, ligne 12 
page 15, ligne 31 -page 18, ligne 17 

WO 89 11706 A (NCR CO) 

30 novembre 1989 (1989-11-30) 

page 10, ligne 2 -page 11, ligne 6 
page 12, ligne 21 -page 14, ligne 6 

-/- 



1,6,11, 

12,15 

2,7,16 



3,4,8,9, 

13,14, 

17,18 



3,4,8,9, 

13,14, 

17,18 



[7] Volrto 



suite du cadre C pour la fin de la liste des documents 



ID 



Lea documents de families de brevets sent indlques en annexe 



° Categories speciales de documents cites: 

'A' document ddflnissant I'etat general de la technique, non 

considers comme partlcullerement pertinent 
"E a document anterfeur, mala publie a (a date de depot International 

ou apres cette date 

"L" document pouvant Jeter un doute sur une revendteatlon de 
pnorite ou cite pour determiner la date de publication d'une 
autre citation ou pour une raison specials (telle qu'lndlquee) 

"O" document se referant a une divulgation oraJe, a un usage, a 
une exposition ou tous autres moyens 

"P" document publie avant la date de depot international, mate 
posterieurement a la date de priorite revendiquee 



T a document urterieur publie apres la date de depot International ou la 
date de priortte et n'appartenenant pas a I'etat de la 
technique pertinent, mate cite pour comprendre le princIpe 
ou ta theorte constltuant la base de ('invention 

"X" document partlcullerement pertinent; i'inven tlon revendiquee ne pout 
at re consideree comme nouvelle ou comme impllquant une actrvite 
inventive par rapport au document consldere isolement 

"Y* document partlculierement pertinent; I'inven tlon revendiquee 
ne peut etre consideree comme Impllquant une acttvlte inventive 
lorsque le document est assocle a un ou plusieurs autres 
documents de meme nature, cette comblnaison etant evldente 
pour une person ne du metier 

document qui fait partie de la meme famille de brevets 



Date a laquelie la recherche Internationale a ete effectlvement achevee 



28 mars 2000 



Date d'expedrtion du present rapport de recherche Internationale 



19/04/2000 



Nom et adresse postaie de I'acfrn in 1st ration chargee de la recherche Internationale 

Office Europeen des Brevets, P.B. 5818 Patentlaan 2 

NL - 2260 HV Rijswijk 

Tel. (+31-70) 340-2040, Tx. 31 651 epo nl, 

Fax: (+31-70)340-3016 



Fonctionnaire autorise 



Masche, C 



FormulalrePCT/18A/210 (deuxfeme feuilte) (JulQet 1992) 



RAPPORT DE RECHERCHE INTERNATIONALE 



4 



QSg&nde Internationale No 

FR 00/00190 



C.(8Utte) DOCUMENTS CONSIDERES COM ME PERTINENTS 



Categorie * Identification des documents cites, avec,le cas echeant, rindlcatlondes passages pertinents 



no. des revendications visees 



EP 0 311 470 A (TELEDIFFUSION FSE ; FRANCE 

ETAT (FR); PHILIPS NV (NL)) 

12 avrll 1989 (1989-04-12) 

cite dans la demande 

abrege 

colonne 12, ligne 30 -colonne 13, Hgne 55 

QUISQUATER J -J ET AL: "FAST DECIPHERMENT 
ALGORITHM FOR RSA PUBLIC-KEY CRYPT0SYSTEM" 
ELECTRONICS LETTERS, 
vol. 18, no. 21, 

14 octobre 1982 (1982-10-14), pages 
905-907, XP000577331 

ISSN: 0013-5194 
page 906, colonne de gauche, ligne 32 - 
ligne 61 



1,6,11, 
15 



1,6,11 



Formulalre PCT/1SA/210 (suite de la deuxleme feu I He) Quillet 1992) 



RAPPORT DE RECHERCHE INTERNATIONALE 

Rensetanements relattfs aux ne^^fteede families do brevets 

er 


Dwrande Internationale No 

4^FR 00/00190 


Document brevet cite Date de 
au rapport de recherche 1 publication 


Membre(s) de la 
famille de brevet(s) 


Date de 
publication 



EP 0792044 A 27-08-1997 JP 10247905 A 14-09-1998 

US 5987134 A 16-11-1999 



W0 9633567 


A 


24- 


■10- 


■1996 


FR 


2733378 A 


25-10-1996 












FR 


2733379 A 


25-10-1996 












CP 
















jp 


10506727 T 


30-06-1998 












us 


5910989 A 

t I' 


08-06-1999 


W0 8911706 


A 


30- 


11- 


■1989 


AU 


622915 B 


30-04-1992 












AU 


3733589 A 


12-12-1989 












CA 


1321649 A 


24-08-1993 












EP 


0374225 A 


27-06-1990 












JP 


2504435 T 


13-12-1990 












US 


4935962 A 


19-06-1990 


EP 0311470 


A 


12- 


-04- 


-1989 


FR 


2620248 A 


10-03-1989 












AT 


83573 T 


15-01-1993 












AU 


2197188 A 


23-03-1989 












CA 


1295706 A 


11-02-1992 












DE 


3876741 A 


28-01-1993 












FI 


884082 A,B, 


08-03-1989 












JP 


1133092 A 


25-05-1989 












KR 


9608209 B 


20-06-1996 












US 


5218637 A 


08-06-1993 












US 


5140634 A 


18-08-1992 



Foimulalre PCT/lSA/210 (annexe famllloe de brevets) Quille* 1992) 



Expedite ur; 



TRAUE OE COOPERATION EN MAHEREjBE BREVETS 



L'ADMINISTRATION CHARGEE DE 
L'EXAMEN PRELIMINAIRE INTERNATIONAL 



Destinataire: 
VIDON, P. 

Cabinet Patrice VIDON 
Immeuble Germanium 
80 Avenue des Buttes de Coesmes 
35700 Rennes 
FRANCE 




ft 9 AVR. * u *> 

PCT 



NOTIFICATION DE TRANSMISSION DU 
RAPPORT D' EXAM EN PRELIMINAIRE 
INTERNATIONAL 

(regie 71.1 du PCT) 



Date d'expeditlon 

Qour/mois/annee) 04.04.2001 



Reference du dossier du deposant ou du mandataire 
5972.WO 


NOTIFICATION IMPORTANTE 


Demande internationale No. 
PCT/FR00/00190 


Date du depot international (jour/mois/annee) 
27/01/2000 


Date de priority (jour/mois/annee) 
27/01/1999 


Deposant 

FRANCE TELECOM et al. 



1 . II est notifie au deposant que ['administration chargee de I'examen preliminaire international a etabli le rapport 
d'examen preliminaire international pour la demande internationale et le lui transmet ci-joint, accompagne, le 
cas echeant, de ces annexes. 

2. Une copie du present rapport et, le cas echeant, de ses annexes est transmise au Bureau international pour 
communication a tous les offices elus. 

3. Si tel ou tel office elu I'exige, le Bureau international etablira une traduction en iangue anglaise du rapport (a 
I'exclusion des annexes de celui-ci) et la transmettra aux offices interesses. 



4. RAPPEL 

Pour aborder la phase nationale aupres de chaque office elu, le deposant doit accomplir certains actes (depot 
de traduction et paiement des taxes nationales) dans le delai de 30 mois a compter de la date de priorite (ou 
plus tard pour ce qui concerne certains offices) (article 39.1) (voir aussi le rappel envoye par le Bureau 
international dans le formulaire PCT/IB/301). 

Losrqu'une traduction de la demande internationale doit etre remise a un office elu, elle doit comporter la 
traduction de toute annexe du rapport d'examen preliminaire international. II appartient au deposant d'etablir la 
traduction en question et de la remettre directement a chaque office elu interesse. 

Pour plus de precisions en ce qui concerne les delais applicables et les exigences des offices elus, voir le 
Volume II du Guide du deposant du PCT. 



Nom et adresse postale de Tadminstration chargee de I'examen 
preliminaire international 

Office europeen des brevets 

JD-80298 Munich 
Tel. +49 89 2399 - 0 Tx: 523656 epmu d 
Fax:+49 89 2399-4465 



Fonctionnaire autorise 
Barrio Baranano, A 

Tel.+49 89 2399-8621 



Formulaire PCT/I PEA/41 6 Quillet 1992) 



TRAITE dTCOOPERATION EN MATIERFBE BREVETS 

PCT 

RAPPORT D'EXAMEN PRELIMINAIRE INTERNATIONAL 

(article 36 et regie 70 du PCT) 



Reference du dossier du deposant ou du 
mandataire 

5972.WO 


voir la notification de transmission du rapport d'examen 
POUR SUITE A DONNER preliminaire international (formulaire PCT/IPEA/416) 


Demande Internationale n° 
PCT/FR00/00190 


pate du depot international (jour/mois/ann£e) 
27/01/2000 


Date de priorite (jour/mois/ann6e) 
27/01/1999 


Classification international des brevets (CIB) ou a la fois classification nationale et CIB 
H04L9/32 


Deposant 

FRANCE TELECOM et al. 



1. Le present rapport d'examen preliminaire international, etabli par I'administaration chargee de I'examen preliminaire 
international, est transmis au deposant conformement a I'article 36. 

2. Ce RAPPORT comprend 7 feuilles, y compris la presente feuille de couverture. 

S l) est accompagne d'ANNEXES, c'est-a-dire de feuilles de la description, des revendications ou des dessins qui ont 
ete modifiees et qui servent de base au present rapport ou de feuilles contenant des rectifications faites aupres de 
radministration chargee de I'examen preliminaire international (voir la regie 70.16 et ('instruction 607 des Instructions 
administratives du PCT). 

Ces annexes comprennent 25 feuilles. 



3. Le present rapport contient des indications relatives aux points suivants: 

I ^ Base du rapport 
Priorite 

Absence de formulation d'opinion quant a la nouveaute, I'activitd inventive et la possibilite 
d'application industrielle 

Absence d'unite de I'invention 

Declaration motivee selon I'article 35(2) quant a la nouveaute, I'activite inventive et la possibilite 
d'application industrielle; citations et explications a I'appui de cette declaration 

Certains documents cites 

Irregularites dans la demande internationale 

Observations-relatives a la demande internationale 



II 


□ 


III 


□ 


IV 


□ 


V 




VI 


□ 


VII 




VIII 





Date de presentation de la demande d'examen preliminaire 
internationale 

19/07/2000 


Date d'achevement du present rapport 
04.04.2001 


Nom et adresse postale de radministration charged de 
I'examen preliminaire international: 

^ Office europeen des brevets 
✓jfi) D-80298 Munich 

Tel. +49 89 2399 - 0 Tx: 523656 epmu d 
Fax: +49 89 2399 - 4465 


Fonctionnaire autoris6 ^rg^sJZ^s. 
Cretaine, P (C $^ I) 

N° de telephone +49 89 2399 8828 ^ 



Formulaire PCT/IPEA/409 (feuille de couverture) (janvier 1994) 




RAPPORT D EXAMEN 

PRELIMINAIRE INTERNATIONAL Demande internationale n° PCT/FR00/001 90 



I. Base du rapport 

1 . En ce qui concerne ies elements de la demande internationale (les feuilles de remplacement qui ont ete remises 
a I'office recepteur en reponse a une invitation faite conformement a I'article 14 sont considerees dans le present 
rapport comme "initialement deposees" et ne sont pas jointes en annexe au rapport puisqu'elies ne contiennent 
pas de modifications (regies 70. 16 et 70. 17)): 

Description, pages: 

1-50 version initiale 



Revendications, N°: 

16 (partie),17, version initiale 

18 

1-15, regue(s) le 10/01/2001 avec la lettre du 09/01/2001 

1 6 (partie) 



2. En ce qui concerne la langue, tous les elements indiques ci-dessus etaient a la disposition de Padministration ou 
lui ont ete remis dans la langue dans laquelle la demande internationale a ete deposee, sauf indication contraire 
donnee sous ce point. 

Ces elements etaient a la disposition de Padministration ou lui ont ete remis dans la langue suivante: , qui est : 

□ la langue d'une traduction remise aux fins de la recherche internationale (selon la regie 23.1 (b)). 

□ la langue de publication de la demande internationale (selon la regie 48.3(b)). 

□ la langue de la traduction remise aux fins de I'examen preliminaire internationale (selon la regie 55.2 ou 
55.3). 

3. En ce qui concerne les sequences de nucleotides ou d'acide amines divulguees dans la demande 
internationale (le cas echeant), I'examen preliminaire internationale a ete effectue sur la base du listage des 
sequences : 

□ contenu dans la demande internationale, sous forme ecrite. 

□ depose avec la demande internationale, sous forme dechiffrable par ordinateur. 

□ remis ulterieurement a Padministration, sous forme ecrite. 

□ remis ulterieurement a Padministration, sous forme dechiffrable par ordinateur. 

□ La declaration, selon laquelle le listage des sequences par ecrit et fourni ulterieurement ne va pas au-dela 
de la divulgation faite dans la demande telle que deposee, a ete fournie. 

□ La declaration, selon laquelle les informations enregistrees sous dechiffrable par ordinateur sont identiques a 
celles du listages des sequences Presente par ecrit, a ete fournie. 

4. Les modifications ont entrame Pannulation : 



Formulaire PCT/IPEA/409 (cadres l-Vlll, feuille 1) Guillet 1998) 



RAPPORT D'EXAMEN 
PRELIMINAIRE INTERNATIONAL 



Demande inteVhationale n° PCT/FR00/001 90 



□ de la description, pages : 

□ des revendications, n os : 

□ des dessins, feuilles : 

5. □ Le present rapport a ete formule abstraction faite (de certaines) des modifications, qui ont ete considerees 

comme allant au-dela de I'expose de I'invention tel qu'il a ete depose, comme il est indique ci-apres (regie 
70.2(c)) : 

(Toute feuille de rempiacement comportant des modifications de cette nature doit etre indiquee au point 1 et 
annexee au present rapport) 

6. Observations complementaires, I e cas echeant : _ 

voir feuille separee 

V. Declaration motivee selon I'article 35(2) quant a la nouveaute, I'activite inventive et la possibilite 
d'application industrielle; citations et explications a I'appui de cette declaration 

1. Declaration 



Nouveaute 


Oui : 


Revendications 


1-18 




Non : 


Revendications 




Activite inventive 


Oui : 


Revendications 


1-18 




Non : 


Revendications 




Possibilite d'application industrielle 


Oui : 


Revendications 


1-18 




Non : 


Revendications 





2. Citations et explications 
voir feuille separee 



VII. Irregularites dans la demande Internationale 

Les irregularites suivantes, concernant la forme ou le contenu de la demande Internationale, ont ete constatees : 
voir feuille separee 



VIII- Observations relatives a la demande internationale 

Les observations suivantes sont ifaites au sujet de la clarte des revendications, de la description et des dessins 
et de la question de savoir si les revendications se fondent entierement sur la description : 
voir feuille separee 
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Concernant le point l 
Base du rapport 

Le jeu de revendications amendees depose avec la reponse du deposant a I'opinion 
ecrite ne comprends pas la deuxieme partie de la revendication 16 ni les 
revendications 17 et 18. Le rapport est base sur les revendications 1 a 15 telles 
qu'amendees et 16 a 18 telles que dans la version initiale. 

Concernant le point V 

Declaration motivee selon Particle 35(2) quant a la nouveaute, 1'activite inventive 
et la possibility duplication industrielle; citations et explications a I'appui de 
cette declaration 

L'invention concerne un procede (revendication 1) et un systeme (revendications 6 et 
11) destines a prouver a une entite controleur Tauthenticite d'une entite et/ou I'integrite 
d'un message associe a cette entite, comportant les etapes successives d'engagement 
effectuee par I'entite, de defi effectue par le controleur, de reponse par le temoin et de 
controle par le controleur. Elle concerne aussi un dispositif controleur (revendication 
15) utilisant ce procede. 

Etat de la technique: 

EP-A-0 31 1 470, cite dans la demande, decrit un tel procede selon lequel une entite 
appelee "autorite de confiance" attribue une identite a chaque entite appelee "temoin" 
et en calcule la signature RSA; durant un processus de personnalisation, I'autorite de 
confiance donne identite et signature au temoin. Par suite, le temoin proclame: "Voici 
mon identite; j'en connais la signature RSA.". Le temoin prouve sans la reveler qu'il 
connaTt la signature RSA de son identite. Grace a la cle publique de verification RSA 
distribute par I'autorite de confiance, une entite appelee "controleur" verifie sans en 
prendre connaissance que la signature RSA correspond a I'identite proclamee. Les 
mecanismes utilisant ce protocole se deroulent "sans transfert de connaissance": le 
temoin ne connaTt pas la cle privee RSA avec laquelle I'autorite de confiance signe un 
grand nombre d'identites. 
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Probleme; 

^utilisation de la technologie RSA rend le procede d'authentification sensible aux 
attaques dites "multiplicatives"; d'autre part la charge de travail liee aux operations 
arithmetiques entrame des temps de calculs trap importants pour les applications type 
carte a puce. 

Invention: 

Le procede n'utilise pas la signature RSA et calcule des engagements R, defis d et 
reponses R a partir de valeurs publiques /privees Gj et Q s definis selon les 
caracteristiques de la revendication 1 . 

Aucun des documents cites dans le rapport de recherche international ne divulgue ou 
suggere les etapes de calcul definies dans la revendication 1 . En particulier, 
EP-A-0 792 044 (cat. X) se rapporte aussi a un procede d'authentification par 
defi/reponse, mais utilisant la technologie RSA. 

L'objet de la revendication 1 implique par consequent une activite inventive (article 33 
PCT). 

Les revendications independantes 6 et 1 1 correspondent a la revendication 1 en 
termes de systemes comportant le dispositif temoin calculant les engagements, 
recevant les defis et calculant les reponses. Elles remplissent done aussi les conditions 
de I'article 33 PCT. 

La revendication independante 15 est relative a un dispositif controleur utilisant les 
calculs de G, et Qj propres au procede de I'invention. Ces calculs n'etant ni divulgues ni 
suggeres par les documents cites, cette revendication remplit aussi les conditions de 
Particle 33 PCT. 

Les autres revendications sont dependantes et satisfont done egalement, en tant que 
telles, aux conditions requises par le PCT en ce qui concerne la nouveaute et I'activite 
inventive. 
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Concernant le point VII 

Irregularites dans la demande internationale 

1. La demande pendante evoquee a la page 50 de la description n'est pas identifiee 
par son numero de demande ou de publication (Directives PCT, II 4.17). 

2. Les expressions "cas ou le dernonstrateur a transmis "operation de ...", "cas 
ou le controleur..." dans les revendications dependantes sont utilisees sans lien 
avec le reste du texte des revendications. 



Concernant le point VIII 

Observations relatives a la demande internationale 

Les revendications suivantes ne remplissent pas entierement les conditions de I'article 
6 PCT pour les raisons suivantes: 

1 . revendication independante 1 : 

L'etape de controle par I'entite "controleur" n'etant pas indiquee dans la 
revendication, la designation de I'objet de I'invention ("procede destine a prouver 
a une entite controleur I'authenticite d'une entite et/ou I'integrite d'un message") 
n'est pas claire, les caracteristiques enoncees dans la revendication se rapportant 
uniquement aux calculs des valeurs d'engagements/defis/reponses utilisables 
dans le procede d'authentification selon I'invention. 

2. Les revendications independantes 6 et 1 1 contiennent les memes caracteristiques 
que la revendication 1 mais exprimees en terme de systeme. L' objection 
mentionnee au paragraphe 1 ci-dessus est done aussi valable pour ces 
revendications." 

De plus, bien que les revendications 6 et 1 1 aient ete redigees sous forme de 
revendications independantes distinctes, elles ont en fait le meme objet et ne 
different Tune de I'autre que par une variation minime dans la definition de I'objet 
pour lequel la protection est demandee (systeme comportant le temoin ou 
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dispositif terminal comportant ie temoin). Par consequent ces revendications, 
considerees ensemble, ne sont pas concises (Article 6 PCT). 

3. La revendication independante 15 se rapporte a un dispositif controleur destine a 
cooperer avec le dispositif terminal ou temoin. Elle ne comporte cependant 
aucune caracteristique de dispositif ou systeme mais des caracteristiques de 
methode ou procede, dont certaines sont de plus des caracteristiques exterieures 
au systeme revendique ("inconnus du dispositif controleur"). 



Formulaire PCT/Feuille separee/409 (feuille 4) (OEB-avril 1997) 



tO-01-2Q01 _ ^ k FR 000000190 

67 



Revendications 

1. Procede destine a prouver a line entite controleur, 

- Fautlienticite d'une entite et/ou 

- Fintegrite d'un message M associe a cette entite, 
5 au moyen : 

- de m couples de valeurs privees Q x , Q 2 , ... Q m etpubliques G XJ G 2 , 
... G m , m etant superieur ou egal a 1, on des parametres derives de ceux-ci, 

- d'un module public n constitue par le produit de f facteurs premiers 
p 1? p 2) ... p f ,f etant superieur ouegala 2 ; - 

10 ledit module et lesdites valeurs etant lies par des relations du type : 

Gi . Qj v = 1 . mod nouGi= Q/mod n ; 
v designant uq exposant public tel que 

v = 2 k 

ou k est un parametre de securite plus grand que 1 ; 
15 ladite valeur publique Gi etant le carre g 2 d'un nombre de base gj inferieur 

aux f facteurs premiers p l5 p 2 , ... pf ; le nombre de base g % etant tel que les 
conditions suivantes sont satisfaites : 
aucune des deux equations : 

x 2 = g s mod n et x 2 s - gjinod n 
20 n'a de solution en x dans Fanneau des entiers modulo n 

et tel que : 

F equation : 

x v = g 2 mod n 

a des solutions en x dans Fanneau des entiers modulo n ; 
2$ ledit procede met en ceuvre selon les etapes suivantes une entite appelee 

temoin disposant des f facteurs premiers p A et/ou des parametres des restes 
chinois des facteurs premiers et/ou du module public n et/ou des m valeurs 
privees Q t et/ou des f.m composantes j (Qi, j = Qiinod pj) des valeurs 
privees Q L et de Fexposant public v ; 
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- le temoin calcule des engagements R dans Fanneau des entiers 
modulo n ; chaque engagement etant calcule : 

• soit en effectuant des operations du type 

R = r v modn 
5 ou rest unalea tel que 0 <r<n, 

* soit 

en effectuant des operations du type 
Ri^r^modpi 

ou rj est un alea associe au nombre premier p t tel que 0 < r t < p A ? chaque 
io appartenant arae collection d'aleas {r x , r 2 > ... r f } , 

puis en appliquant la methode des restes chinois ; 

- le temoin re<?oit un ou plusieurs defis d ; chaque defi d comportant 
m entiers d t ci-apres appeles defis elementaires ; le temoin calcule a partir 
de chaque defi d une reponse D, 

15 • soit en effectuant des operations du type : 

D ss r . Qi dl . Q 2 ^ ... Q m mod n 

* soit 

en effectuant des operations du type : 
D^ii . Q y dl . * Q^modp, 
20 •* puis en appliquant la methode des restes chinois ; 

ledit precede etant tel qu'il y a autant de reponses D que de defis d que 
d'engagements R, chaque groupe de nombres R, d, D constituant un triplet 
note {R, d, D}. 

2* Procede selon la revendication 1 destine a prouver l'authenticite 
d'une entke appelee demonstrateur a une entite appelee controleur, ladite 
entite demonstrateur comprenant le temoin ; 

lesdites entites demonstrateur et controleur executant les etapes suivantes : 

• etape 1 : acte d'engagement R 
- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
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processus specifie selon la revendication 1, 

- le demonstrateur traiismet au controleur tout ou paxtie de chaque 
engagement R, 

• etape 2 : acte de defi d 

5 -le controleur, apres avoir xegu tout ou partie de chaque engagement R, 

produit des defis d en nombre egal au nombre d' engagements R et transmet 
les defis d au demonstrateur, 

• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
10 processus specifie selon la revendication 1 

• etape 4 : acte de controle 

- le demonstrateur transmet chaque reponse D au contrdleur, 

cas oil le demonstrateur a transmis une partie de chaque engagement R 
dans le cas ou le demonstrateur a transmis une partie de chaque engagement 

is R, le controleur, disposant des m valeurs publiques G t9 G 2 , G^ calcule a 

partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R> = G x dl . G 2 . . . G m dm . D v mod n 
ou a une relation du type, 

20 R ? = D v /G 1 dl .G 2 d2 ....G m dia .modn, 

le controleur verifie que chaque engagement reconstruit R' reproduit tout 

ou partie de chaque engagement R qui lui a ete transmis, 

cas ou le demonstrateur a transmis Fintegralite de chaque engagement 

R 

25 dans le cas ou,Le demonstrateur a transmis Fintegralite de chaque 

engagement R, le controleur, disposant des m valeurs publiques G l9 G 2? 
G m? verifie que chaque engagement R satisfait a une relation du type : 

R = G x dl . G 2 d2 . ... G m . D v mod n 
ou a une relation du type, 
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RsD v I G X dl . G 2 d2 . ... G m dm . mod n . 

3. Precede selon la revendication 1 destine a prouver a une entite 
appelee controleur 1' integrite d'un message M associe a une entite appelee 
demonstrateur, ladite entite demonstrateur comprenant le temoin ; 
5 lesdites entites demonstrateur et controleur executant les etapes suivantes : 

• etape 1 : acte d'engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie selon la revendication 1, 

• etape 2 : acte de defi d 

10 - le demonstrateur applique une fonction de hachage h ayant cornme 

arguments le message M et tout ou partie de chaque engagement R pour 
calculer au moins xm jeton T, 

- le demonstrateur transmet le jeton T au controleur, 

- le controleur, apres avoir re<?u un jeton T, produit des defis d en nombre 
15 egal au nombre d'engagements R et transmet les defis d au demonstrateur, 

• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie selon la revendication 1, 

• etape 4 : acte de controle 

20 - le demonstrateur transmet chaque reponse D au controleur, 

- le controleur, disposant des m valeurs publiques G 1? G 2 , ... G m? calcule a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R> = Gj dl . G 2 d2 . ... G m dm . D v mod n 
25 ou a ime relation (hi type : 

R ? -D v /G 1 tU .G 2 d2 ....G m dra . modn 

- puis le controleur applique la fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement 
reconstruit R ? pour reconstruire le jeton T% 
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- puis le contrdleur verifie que le jeton T* est identique au jeton T transmis. 

4. Procede selon la revendication 1 destine a produire la signature 
numerique d'un message M par une entite appelee entite signataire, ladite 
entite signataire comprenant le temoin ; 

5 Operation de signature 

ladite entite signataire execute line operation de signature en vue d'obtenir 
un message signe comprenant : 
- le message M, 
_ leg ££Q S d et y QU | es en g a gements R, 

io - les reponses D ; 

ladite entite signataire execute Foperation de signature en mettant en oeuvre 
les etapes suivantes : 

• etape 1 : acte d'engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
is processus specifie selon la revendication 1, 

• etape 2 : acte de defi d 

- le signataire applique une fonction de hachage h ayant comme arguments 
le message M et chaque engagement R pour obtenir un train binaire, 

- le signataire extrait de ce train binaire des defis d en nombre egal au 
20 nombre d 5 engagements R, 

• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie selon la revendication 1. 

5. Procede selon la revendication 4 destine a prouver Pauthenticite 
25 du message M en controlant, par une entite appelee controleur, le message 

signe; 

Operation de controle 

ladite entite controleur disposant du message signe execute une operation 
de controle en procedant comme suit : 
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• cas out le controleur dispose des engagements R, des defis d, des 
reponses D, 

dans le cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

5 • • le controleur verifie que les engagements R, les defis d et les 

reponses D satisfont a des relations du type 

R- G t dl • G 2 ... G m *» . W mod n 
ou a des relations du type : 

R = D v / Gj dl . G 2 d2 . ... G m . modn 

10 • • le controleur verifie que le message M, les defis d et les 

engagements R satisfont a la fonction de hachage 

d = h (message, R) 

• cas ou le controleur dispose des defis d et des reponses D 
rlans le cas ou le controleur dispose des defis d et des reponses D, 

15 * • le controleur reconstruit, a partir de chaque defi d et de chaque 

reponse D, des engagements R 5 satisfaisant a des relations du type : 

R> = G x dl . G 2 ^ ... G m *■ . D v mod n 
ou a des relations du type : 

R' == D v / Gi dl . G 2 ^ ... G m *" . modn 
20 • • le controleur verifie que le message M et les defis d satisfont a la 

fonction de hachage 

d = h (message, R ? ) 

• cas ou le controleur dispose des engagements R et des reponses D 

dans le cas ou le controleur dispose des engagements R et des reponses D, 
25- • • le controleur applique la fonction de hachage et reconstruit d' 

d' = h (message, R) 
* • le controleur verifie que les engagements R, les defis d' et les 
reponses D, satisfont a des relations du type : 

R = G x « . G 2 « ... G m d ' m . D v mod n 
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ou a des relations du type : 

RsD v /G 1 d,1 .G 2 d ' 2 -...G m d,m . modn 

6. Systeme destine a prouver a un serveur controleur, 

- F authenticity d'une entite et/ou 

5 - Tintegrite d'un message M associe a cette entite, 

au moyen : 

-dem couples de valeurs privees Q 1? Q 2 , ... Q m et publiques G 1? G 2 , 
Mf G m) m etant superieur ou egal a 1 5 ou des parametres derives de ceux-ci, 

- d'un module public n constitue par le produit de f facteurs premiers 
10 p l5 p 2 , ... p f , f etant superieur ou egal a 2 ; 

ledit module et lesdites valeurs etant lies par des relations du type : 

Gi . Qi v = 1 . mod nouGi = Q^mod n ; 
v designant un exposant public tel que 

v = 2 k 

15 ou k est un parametre de securite plus grand que 1 ; 

ladite valeur publique G^ etant le carre g s 2 d'un nombre de base gi inferieur 
aux f facteurs premiers p 1? p 2 , ... p f ; le nombre de base g t etant tel que les 
conditions suivantes sont satisfaites : 
aucune des deux equations : 

x 2 = g i modn et x 2 = -g i mod n 
n'a de solution en x dans Fanneau des entiers modulo n 
et tel que : 

Fequation : 

x v ^ gi 2 modn 

7S a des solutions enx dans Fanneau des entiers modulo n ; 

ledit systeme comprend un dispositif temoin, notamment contenu dans un 
objet nomade se presentant par exemple sous la forme d'une carte bancaire 
a microprocesseur, 
le dispositif temoin comporte 



20 
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- une zone memoire contenant les f facteurs premiers p t et/ou les 
parametres des restes chinois des facteurs premiers et/ou le module public n 
et/ou les m valeurs privees Q s et/ou les f.m composantes j (Q i? j = <& mod 
Pj) des valeurs privees <& et Fexposant public v ; 

5 ledit dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 

io Fanneau des entiers modulo n ; chaque engagement etant calcule : 

• soit en effectuant des operations du type 

R = r v mod n 

ou r est un alea produit par les moyens de production d'aleas, r etant tel que 
0<r<n, 

15 • soit en effectuant des operations du type 

Rj^r^modpi 

ou r s est un alea associe au nombre premier Pi tel que 0 < ri < Pi , chaque r 5 
appartenant a une collection d'aleas , r 2 , r f } produits par les moyens 
de production d'aleas, puis en appliquant la methode des restes chinois ; 
20 ledit dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 
des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d ; 
chaque defi d comportant m entiers di ci-apres appeles defis elementaires ; 

- des moyens de calcul, ci apres designes les moyens de calcul des 
26 reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 

reponse D, 

• soit en effectuant des operations du type : 

D = r.Q 1 dl .Q 2 d2 . ... Q m dm modn 

• soit en effectuant des operations du type : 
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Di ^ r t . Q kl dl . Q U2 * ... Q i>m *" mod Pi 
puis en appliquant la methode des restes chinois, 

- des moyens de transmission pout transmettre un ou plusieurs 
engagements R et une ou plusieurs reponses D ; 

5 il y a autant de reponses D que de defis d que d'engagements R, chaque 

groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

7. Systeme selon la revendication 6 destine a prouver P authenticity 
d'une entite appelee demonstrateur a une entite appelee controleur, 
ledit systeme etant tel qu'il comporte 

io - un dispositif demoustrateur associe a 1' entite demonstrateur, ledit 

dispositif demonstrateur etant interconnect^ au dispositif temoin par des 
moyens d'interconnexion et pouvant se presenter notamment sous la forme 
de microcircuits logiques dans un objet nomade par exemple sous la forme 
d'un microprocesseur dans une carte bancaire a microprocesseur, 

15 - un cUspositif controleur associe a l'entite controleur, ledit dispositif 

controleur se presentant notamment sous la forme d'un term i nal ou d'un 
serveur distant, ledit dispositif controleur comportant des moyens de 
connexion pour le connecter electriquement; electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un reseau de 

20 communication informatique, au dispositif demonstrateur ; 

ledit systeme permettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 
a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 

2& selon la revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d' interconnexion, 
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le dispositif demonstrateur comporte anssi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre tout ou partie de chaque engagement R au dispositif controleur, 
via les moyens de connexion ; 
5 • etape 2 : acte de defi d 

le dispositif controleur comporte des moyens de production de defis pour 
produire, apres avoir repu tout ou partie de chaque engagement R, des defis 
d en nombre egal au nombre d' engagements R, 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
10 designes les moyens de transmission du controleur, pour transmettre les 

defis d au demonstrateur, via les moyens de connexion ; 

• etape 3 : acte de reponse D- 

les moyens de reception des defis d du dispositif temoin, refoivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
15 d'interconnexion, 

les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 1, 

• etape 4 : acte de controle 

20 les moyens de transmission du demonstrateur transmettent chaque reponse 

D au controleur, 

le dispositif contrSleur comporte aussi 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

25 - des moyens de comparaison, ci-apres designes les moyens de 

comparaison du dispositif controleur, 

cas ou le demonstrateur a transmis une partie de chaque engagement R 

dans le cas ou les moyens de transmission du demonstrateur ont transmis 
une partie de chaque engagement R, les moyens de calcul du dispositif 
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controleur, disposant des m valeurs publiques G l5 G 2 , ... G m , calculeiit a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R> = G X dl . G 2 ^ ... G m dm . D v modn 
ou a une relation du type, 

R' s D v / Gj . G 2 62 . . . . G m to . mo d n , 
les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R re^u, 
cas ou le demonstrateur a transmis Pintegralite de chaque engagement 
R 

dans le cas ou les moyens de transmission du demonstrateur ont transmis 
Fintegralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
Gi, G 2 , ... G m , verifient que chaque engagement R satisfait a une relation 
du type : 

R = G 1 dl .G 2 d2 .... G m dm .D v modn 
ou a une relation du type, 

R = D V /Gj dl . G 2 d2 . ... G m dm . modn . 
8. Systeme selon la revendication 6 destine a prouver a une entite 
appelee controleur Pintegrite d'un message M associe a une entite appelee 
demonstrateur, 

ledit systeme etant tel qu'il comporte 

- un dispositif demonstrateur associe a 1' entite demonstrateur, ledit 
dispositif demonstrateur etant interconnects au dispositif temoin par des 
moyens d' interconnexion et pouvant se presenter notamment sous la forme 
de microcircuits logiques dans un objet nomade par exemple sous la forme 
d'un microprocesseur dans une carte bancaire a microprocesseur, 

- un dispositif controleur associe a F entite controleur, ledit dispositif 
controleur se presentant notamment sous la forme d'un terminal ou d'un 
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serveur distant, ledit dispositif controleur comportant des moyens de 
connexion ponr le connecter electriquement; eleclromagnetiquement, 
optiquement ou de maniere acoustique, notarnment via un reseau de 
communication informatique, au dispositif demonstrateur ; 
5 : ledit systeme permettant d'executer les etapes suivantes : 

• etape 1 : acte d ? engagement R 

a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selonlarevendication 1, 
io le dispositif temoin comporte des moyens de transmission, ci-apres 

designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d'interconnexion, 

• etape 2 : acte de defi d 

15 le dispositif demonstrateur comporte des moyens de calcul, ci-apres 

designes les moyens de calcul du demonstrateur, appliquant une fonction de 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R, pour calculer au moins un jeton T, 
le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 

20 apres designes les moyens de transmission du dispositif demonstrateur, 

pour transmettre chaque jeton T, via les moyens de connexion, au dispositif 
controleur, 

le dispositif controleur comporte aussi des moyens de production de defis 
pour produire, apres avoir re9U le jeton T, des defis d en nombre egal au 
25 nombre d'engagejnents R, 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du controleur, pour transmettre les 
defis d au demonstrateur, via les moyens de connexion ; 

• etape 3 : acte de reponse D 
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les moyens de reception des defis d du dispositif temoin, re<poivent chaque 
defi d provenant du dispositif demonstrates, via les moyens 
d'intercormexion, 

les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 1, 

• etape 4 : acte de controle 
les moyens de transmission du demonstrateur transmettent chaque reponse 
D au controleur, 

le dispositif controleur comporte aussi des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif controleur, disposant des m 
valeurs publiques G X9 G 2 , G m? pour d'une part, calculer a partir de 
chaque defi d et de chaque reponse D un engagement reconstruit R' 
satisfaisant a une relation du type : 

R> = d dl • G 2 d2 _.. G m 6311 • D v mod n 
ou a une relation du type : 

R , sD v /G 1 dl .G 2 d2 ...- G m dm - modn 
puis d' autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R', im jeton T% 

le dispositif controleur comporte aussi des moyens de comparaison, ci-apres 
designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton calcule T ? au jeton T re?u. 

9. Systeme selon la revendication 6 destine a produire la signature 
numerique d'un message M, ci-apres designe le message signe, par une 
entite appelee entite sigrataire ; 
le message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 
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- les reponses D ; 
Operation de signature 

ledit systeme etant tel qu'il comporte un dispositif signataire associe a 
Pentite signataire, ledit dispositif signataire etant interconnecte au dispositif 
5 temoin par des moyens d'interconnexion et pouvant se presenter notamment 

sous la forme de microcircuits logiques dans un objet nomade par exernple 
sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur, 

ledit systeme peimettant d'executer les etapes suivantes : 
io • etape 1 : acte d'engagement R 

a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 1 , 

le dispositif temoin comporte des moyens de transmission, ci-apres 
15 designes les moyens de transmission du dispositif temoin, pour transmettre 

tout ou partie de chaque engagement R au dispositif signataire, via les 
moyens d'interconnexion, 

• etape 2 : acte de defi d 

le dispositif signataire comporte des moyens de calcul, ci-apres designes les 
20 moyens de calcul du dispositif signataire, appliquant une fonction de 

hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R, pour calculer un train binaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d'engagements R, 

• etape 3 : acte de reponse D 

25 les moyens de reception des defis d du dispositif temoin, re9oivent chaque 

defi d provenant du dispositif signataire, via les moyens d'interconnexion, 
les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 1, 
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le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
les reponses D au dispositif signataire, via les moyens d'interconnexion. 

10. Systeme selon la revendication 9 destine a prouver Fauthenticite 
5 du message M en controlant, par une entite appelee controleur, le message 

signe; 

Operation de contrdle 

ledit systeme etant tel qu'il comporte un dispositif controleur associe a 
Tentite controleur, ledit dispositif controleur se presentant notamment sous 

10 la forme d'un terminal Ou d'un serveur distant, ledit dispositif controleur 

comportant des moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique, notamment 
via un reseau de communication informatique, au dispositif signataire ; 
le dispositif signataire associe a Tentite signataire comporte des moyens de 

15 transmission, ci-apres designes les moyens de transmission du dispositif 

signataire, pour transmettre au dispositif controleur, le message signe, via 
les moyens de connexion, de telle sorte que le dispositif controleur dispose 
d'un message signe comprenant : 
-le message M, 

20 - les defis d et/ou les engagements R, 

- les reponses D ; 

le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

25 - des moyens de comparaison, ci-apres designes les moyens de 

comparaison du dispositif controleur, 

• cas ou le dispositif controleur dispose des engagements R, des defis d, 
des reponses D, 

dans le cas ou le dispositif controleur dispose des engagements R, des defis 
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d, des reponses D ? 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d et les reponses D satisfont a des 
relations du type 

5 R = G 1 dl .G 2 d2 .... G m dm .D v modn 

ou a des relations du type : 

R = D v /G 1 dl .G 2 d2 . ... G m dm . modn 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 

io fonction de hachage 

d = h (message, R) 

• cas oil le dispositif controleur dispose des defis d et des reponses D 

dans le cas ou le dispositif controleur dispose des defis d et des reponses D, 

• • les moyens de calcul du dispositif controleur calculent, a partir de 
15 chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 

des relations du type : 

R'sGx^.Ga G m dm .D v modn 
ou a des relations du type : 

R' = D v /G 1 <u .G 2 d2 ....G m dm . modn 
20 • • les moyens de calcul et de comparaison du dispositif controleur 

verifient que le message M et les defis d satisfont a la fonction de liacliage 

d = h (message, R') 

• cas ou le dispositif controleur dispose des engagements R et des 
reponses D 

2S- dans le cas ou le dispositif controleur dispose des engagements R et des 

reponses D, 

• • les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d* tel que 

d' = h (message, R) 
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• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d 5 et les reponses D 5 satisfont a 
des relations du type : 

R = d d l . G 2 d \ ... G m d m . D v mod n 
5 ou a des relations du type : 

R = D v / G x d l . G 2 d ' 2 . ... G m d m . mod n 
11. Dispositif terminal associe a une entite, se presentant notamment 
sous la forme d'un objet nomade par exemple sous la forme d'une carte 
bancaire a microprocesseur, destine a prouver a un dispositif controleur, 
10 -Fauthenticitedel'entiteel/ou 

- Fintegrite d'un message M associe a cette entite, 
au moy en f 

- de m couples de valeurs privees Q l9 Q 2 , ... Q m etpubliques G x , G 2 , 
... G m ? m etant superieur ou egal a 1, ou des parametres derives de ceux-ci, 

15 - d'un module public n constitue par le produit de f facteurs premiers 

Pi? P2? • Pf 9 f etant superieur ou egal a 2 ; 

ledit module et lesdites valeurs etant lies par des relations du type : 

G s . Qj V = 1 . mod nouGi= Q^mod n ; 
v designant un exposant public tel que : 
20 v = 2 k 

ou k est un parametre de securite plus grand que 1 ; 

ladite valeur publique Gj etant le carre d'un nombre de base g { inferieur 
aux f facteurs premiers p x , p 2? p f ; le nombre de base g s etant tel que les 
conditions suivantes sont satisfaites: 
25- aucune^ des deux equations : 

x^smodn et x^-gmodn 
n'a de solution en x dans Fanneau des entiers modulo n 
et tel que : 

1' equation : 
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x v = gj 2 mod n 

a des solutions en x dans Tanneau des entiers modulo n ; 

ledit dispositif terminal comprend un dispositif temoin comportant, 

- une zone memoire contenant les f facteurs premiers pi et/ou les 
5 parametres des restes chinois des facteurs premiers et/ou le module public n 

et/ou les m valeurs privees Q £ et/ou les f.m composantes Q^j (Q isj = Qimod 
Pj) des valeurs privees Qi et Texposant public v ; 
ledit dispositif temoin comporte aussi 

— - des moyens de production d'aleas, ci-apres designes les moyens de 
10 production d'aleas du dispositif temoin,, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
Tanneau des entiers modulo n ; chaque engagement etant calcule : 

• soit en effectuant des operations du type 
is R == r v mod n 

ou r est un alea produit par les moyens de production d'aleas, r etant tel que 
0<r<n, 

• soit en effectuant des operations du type 

Ri^r^modpj 

20 ou Ti est un alea associe au nombre premier p t tel que 0 < r 4 < p s , chaque ri 

appartenant a une collection d'aleas {r x 9 r 2 9 ... r f } produits par les moyens 
de production d'aleas, puis en appliquant la methode des restes chinois ; 
ledit dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 

s 

2& des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d ; 

chaque defi d comportant m entiers dj ci-apres appeles defis elementaires ; 

- des moyens de calcul, ci apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D, 
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• sbit en effectuant des operations du type : 

D e= r * Q x dl . Q 2 6 \ . . . Q m *■ mod n 

• soit en effectuant des operations du type : 

Di = *i . Q u dl . c . . . mod Pi 

5 puis en appliquant la methode des restes chinois, 

- des moyens de transmission pout transmettre un ou plusieurs 
engagements R et une ou plusieurs reponses D ; 

il y a autant de reponses D que de defis d que d' engagements R, chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 
10 12. Dispositif terminal selon la revendication 11 destine a prouver 

1' authenticity d'une entite appelee demonstrateur a une entite appelee 
controleur, 

ledit dispositif terminal etant tel qu'il comporte un dispositif demonstrateur 
associe a F entite demonstrateur, ledit dispositif demonstrateur etant 
is interconnects au dispositif temoin par des moyens d'interconnexion et 

pouvant se presenter notamment sous la forme de microcircuits logiques 
dans un objet nomade par exemple sous la forme d'un microprocesseur 
dans une carte bancaire a microprocesseur, 

ledit dispositif demonstrateur comportant des moyens de connexion pour le 
20 connecter electriquement, electromagnetiquement, optiquement ou de 

maniere acoustique, notamment via un reseau de communication 
informatique, au dispositif controleur associe a P entite controleur, ledit 
dispositif controleur se presentant notamment sous la forme d'un temiinal 
ou d'un serveur distant ; 
2s ledit dispositif terminal permettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 
a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 1 , 
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le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrated, via les 
moyens d'interconnexion, 
5 le dispositif demonstrates comporte aussi des moyens de transmission, ci- 

apres designes les moyens de transmission du demonstrates, pour 
transmettre tout ou partie de cliaque engagement R au dispositif controles, 
via les moyens de connexion ; 

• etapes 2 et 3 : acte de defi d, acte de reponse D 

io les moyens de reception des defis d du dispositif temoin, re^oivent chaque 

defi d provenant du dispositif controleur via les moyens de connexion entre 
le dispositif controleur et le dispositif demonstrates et via les moyens 
d'interconnexion entre le dispositif demonstrates et le dispositif temoin, 
les moyens de calcul des reponses D du dispositif temoin, calculent les 

is reponses D a partir des defis d en appliquant le processus specifie selon la 

revendication 1, 

• etape 4 : acte de controle 

les moyens de transmission du demonstrates transmettent chaque reponse 
D au dispositif controles qui procede au controle, 
20 13* Dispositif terminal selon la revendication 1 1 destine a prouver a 

une entite appelee controles Pintegrite d'un message M associe a une 
entite appelee demonstrates, 

ledit dispositif terminal etant tel qu'il comporte un dispositif demonstrates 
associe a V entite demonstrates, ledit dispositif demonstrates etant 
2& interconnects au dispositif temoin par des moyens d'interconnexion et 

pouvant se presenter notamment sous la forme de microcircuits logiques 
dans un objet nomade par exemple sous la forme d'un microprocesses 
dans une carte bancaire a microprocesses, 

ledit dispositif demonstrates comportant des moyens de connexion pos le 
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connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, au dispositif controleur associe a Tentite controleur, ledit 
dispositif controleur se presentant notamment sous la forme d'un terminal 
5 ou d'un serveur distant ; 

ledit dispositif terminal pennettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 
a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 

10 selon la revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d'interconnexion, 

15 • etapes 2 et 3 : acte de defi d, acte de reponse D 

le dispositif demonstrates comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du demonstrateur, appKquant une fonction de 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R, pour calculer au moins un jeton T, 

20 le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 

apres designes les moyens de transmission du dispositif demonstrateur, 
pour transmettre chaque jeton T, via les moyens de connexion, au dispositif 
controleur, 

ledit dispositif controleur produit, apres avoir re9u le jeton T, des defis d en 
25 nombre egal au nombre d' engagements R, 

les moyens de reception des defis d du dispositif temoin, repoivent chaque 
defi d provenant du dispositif controleur via les moyens de connexion entre 
le dispositif controleur et le dispositif demonstrateur et via les moyens 
d'interconnexion entre le dispositif demonstrateur et le dispositif temoin, 
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les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 1, 

• etape 4 : acte de contrdle 
5 les moyens de transmission du demonstrateur transmettent chaque reponse 

D au dispositif controleur qui procede au controle. 

14. Dispositif terminal selon la revendication 1 1 destine a produire la 
signature numerique d'un message ci-apres designe le message signe, 
par une entite appelee entite signataire ; 
10 le message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 

ledit dispositif terminal etant tel qu'il comporte xm dispositif signataire 
15 associe a P entite signataire, ledit dispositif signataire etant interconnect^ au 

dispositif temoin par des moyens d' interconnexion et pouvant se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur, 

20 ledit dispositif signataire comportant des moyens de connexion pour le 

connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, au dispositif controleur associe a F entite controleur, ledit 
dispositif controleur se presentant notamment sous la forme d'un terminal 
25 ou d'un serveur distant ; 

Operation de signature 

ledit dispositif terminal permettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 
a chaque appel, les moyens de calcul des engagements R du dispositif 
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temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
5 tout ou partie de chaque engagement R au dispositif signataire, via les 

moyens d'interconnexion, 

• etape 2 : acte de defi d 

le dispositif signataire comporte des moyens de calcul, ci-apres designes les 
moyens de calcul du dispositif signataire, appliquant une fonction de 
10 hachage h ayant comme arguments le message M et tout ou partie de 

chaque engagement R, pour calculer un train binaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d' engagements R, 

• etape 3 : acte de reponse D 

les moyens de reception des defis d du dispositif temoin, re?oivent chaque 
is defi d provenant du dispositif signataire, via les moyens d'interconnexion, 

les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-apres 
20 designes les moyens de transmission du dispositif temoin, pour transmettre 

les reponses D au dispositif signataire, via les moyens d' interconnexion. 

15. Dispositif controleur, se presentant notamment sous la forme 
d'un terminal ou d'un serveur distant, associe a une entite controleur, 
destine a controler : 
25 - Tauthenticite d'une entite et/ou 

- Tintegrite d'un message M associe a cette entite, 
au moyen t 

- de m couples de valeurs publiques G l5 G 2 , G m ,m etant 
superieur ou egal a 1, 



FEUILLE MODIFI E 



rao't-^opi ^ fr 000000190 



- d'un module public n constitue par le produit de f facteurs premiers 
Pi? P2> * • • Pf > f etant superieur ou egal a 2, inconnus du dispositif controleur 
et de F entite controleur associe ; 

ledit module et lesdites valeurs etant lies par des relations du type : 
5 Gj.Q^sl .modnouGisQ^modn; 

ou Qi designe une valeur privee, inconnue du dispositif controleur, associee 

a la valeur publique Gj , 

v designant un exposant public tel que 

v = 2 k 

10 ou k est un parametre de securite plus grand que 1 ; 

ladite valeur publique G { etant le carre g| 2 d'un nombre de base gj inferieur 
aux f facteurs premiers p 19 p 2 , ... Pf ; le nombre de base gj etant tel que les 
conditions suivantes sont satisfaites: 
aucune des deux equations : 
15 x 2 ^g i modn et x 2 = - gi mod n 

n'a de solution en x dans Fanneau des entiers modulo n 
F equation : 

x v s gi 2 mod n 

a des solutions en x dans Fanneau des entiers modulo n ; 
20 16. Dispositif controleur selon la revendication 15 destine a prouvex 

Fauthenticite d'une entite appelee demonstrateur a une entite appelee 
controleur ; 

ledit dispositif controleur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
2£- maniere acoustique, notamment via un reseau de communication 

informatique, a un dispositif demonstrateur associee a F entite 
demonstrateur ; 

ledit dispositif controleur permettant d'executer les etapes suivantes : 
• etapes 1 et 2 : acte d'engagement R, acte de defi d 
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ledit dispositif controleur comporte aussi des moyens de reception de tout 
ou partie des engagements R provenant du dispositif demonstrateur, via les 
moyens de connexion, 

le dispositif controleur comporte des moyens de production de defis pour 
produire, apres avoir regu tout ou partie de chaque engagement R, des defis 
d en nombre egal au nombre d' engagements R, chaque defi d comportant 
m entiers di ci-apres appeles defis elementaires, 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du controleur, pour transmettre les 
defis d au demonstrateur, via les moyens de connexion ; 

• etapes 3 et 4 : acte de repontse D, acte de controle 
ledit dispositif controleur comporte aussi : 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de connexion 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

cas oii le demonstrateur a transmis une partie de chaque engagement R 
dans le cas ou les moyens de reception du dispositif controleur ont requs 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques G 1? G 2? ... calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R , = G 1 dl .G 2 d2 -_G m dm .D v modn 
ou a ime relation du type, 

R>=D V /G X dl . G 2 A1 . ... G m dm . modn , 
les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R re<?u, 
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Method, system and device for proving the authenticity of an entity 
and/or the integrity and/or the authenticity of a message using specific 

prime factors 

The present invention relates to the technical field of methods, 
systems and devices designed to prove the authenticity of an entity and/or 
the integrity and/or authenticity of a message. 

The patent EP 0 311 470 Bl, whose inventors are Louis Guillou and 
Jean- Jacques Quisquater, describes such a method. Hereinafter, reference 
shall be made to their work by the terms "GQ patent" or "GQ method". 
Hereinafter, the expression "GQ2", or "GQ2 invention" or "GQ2 
technology" shall be used to describe the new developments of the GQ 
technology that are the object of pending applications filed on the same 
day as the present application by France Telecom, TDF and the firm 
Mathrizk, and having Louis Guillou and Jean-Jacques Quisquater as their 
inventors. The characteristic features of these pending applications are 
recalled whenever necessary in the following description. 

According to the GQ method, an entity known as a "trusted 
authority" assigns an identity to each entity called a "witness" and 
computes its RSA signature. In a customizing process, the trusted 
authority gives the witness an identity and signature. Thereafter, the 
witness declares the following: "Here is my identity; I knew the RSA 
signature thereof'. The witness, without revealing the fact, proves that he 
knows the RSA signature of his identity. Through the RSA public 
identification key distributed by the trusted authority, an entity known as 
a "controller" ascertains, without obtaining knowledge thereof, that the; 
RSA signature corresponds to the declared identity. The mechanism using 
the GQ method takes place "without transfer of knowledge". According to 
the GQ method, the witness does not know the RSA private key with 
which the trusted authority signs a large number of identities. 



The GQ technology described here above makes use of RSA 
technology. However, while the RSA technology truly depends on the 
factorization of the modulus n, this dependence is not an equivalence, 
indeed far from it, as can be seen in the so-called multiplicative attacks 
against various standards of digital signatures implementing the RSA 
technology. 

The goal of the GQ2 technology is twofold: firstly to improve the 
performance characteristics of RSA technology and secondly to avert the 
problems inherent in RSA technology. Knowledge of the GQ2 private key 
is equivalent to knowledge of the factorization of the modulus n. Any 
attack on the triplets GQ2 leads to the factorization of the modulus n: this 
time there is equivalence. With the GQ2 technology, the work load is 
reduced for the signing or self-authenticating entity and for the controlling 
entity. Through a better use of the problem of factorizing in terms of both 
security and performance, the GQ2 technology averts the drawbacks of 
RSA technology. 

The GQ method implements modulo computations of numbers 
comprising 512 bits or more. These computations relate to numbers having 
substantially the same size raised to powers of the order of 2 16 + L Now, 
existing microelectronic infrastructures, especially in the field of bank 
cards, make use of monolithic self-programmable microprocessors without 
arithmetical coprocessors. The work load related to multiple arithmetical 
applications involved in methods such as the GQ method leads to 
computation times which, in certain cases, prove to be disadvantageous for 
consumers using bank cards to pay for their purchases. It may be recalled, 
here that, in seeking to increase the security of payment cards, the banking 
authorities have raised a problem that is particularly difficult to resolve. 
Indeed, two apparently contradictory questions have to be resolved: on 
the one hand, increasing safety by using increasingly lengthy and distinct 



keys for each card while, on the other hand, preventing the work load from 
leading to excessive computation times for the user. This problem becomes 
especially acute inasmuch as it is also necessary to take account of the 
existing infrastructure and the existing microprocessor components. 

The GQ2 technology provides a solution to this problem while 
boosting security. 

The GQ2 technology implements prime factors having special 
properties. There are various existing techniques for producing these 
prime factors. An object of the present invention is a method for the 
systematic production of such prime factors. It also relates to the 
application that can be made of these factors especially in the 
implementation of the GQ2 technology. It must be emphasized right now 
that these special prime factors and the method used to obtain them can be 
applied beyond the field of GQ2 technology. 

The invention can be applied to a method (GQ2 method) designed to 
prove the following to a controller entity: 

- the authenticity of an entity and/or 

- the integrity of a message M associated with this entity. 

This proof is established by means of all or part of the following 
parameters or derivatives thereof: 

- a public modulus n constituted by the product of f prime factors p 19 
p 2 , ... p f (f being equal to or greater than 2), 

- a public exponent v; 

- m distinct integer base numbers g 19 g 2 , ... g m (m being greater than 
or equal to 1). 

The base numbers g, are such that the two equations (1) and (2): 
x 2 == g, mod n and x 2 ^ - g { modn 
cannot be resolved in x in a ring of integers modulo n, 
and such that the equation (3): 



x v = g, 2 mod n 
can be resolved in x in the ring of integers modulo n. 

The method according to the invention is used to produce the f prime 
factors p ls , p^, . . . p f . in such a way that the equations (1), (2) and (3) are 
satisfied. The method according to the invention comprises the step of 
choosing firstly: 

• the m base numbers g lf , g v . . . g m , 

• the size of the modulus n, 

• the size of the f prime factors p ls , p v . . . p f . 

The method relates to the case where the public exponent v has the 

form: 

v = 2 k 

where k is a security parameter greater than 1. The security parameter k is 
also chosen as a prime number. This special value of the exponent v is one 
of the essential features of GQ2 technology. 

Preferably, the m base numbers g^, g^, ... g m , are chosen at least 
partially among the first integers. Preferably again, the security parameter k 
is a small integer, especially below 100. Advantageously, the size of the 
modulus n is greater than several hundreds of bits. Advantageously again, 
the f prime factors p^, p^, ... p f have a size close to the size of the modulus 
n divided by the number f of factors. 

According to a major characteristic of the method according to the 
invention, the f prime factors p^, p^, ... p f are not chosen in any unspecified 
way. Among the f prime factors p v p^, ... p D a certain number of them: e 
will be chosen to be congruent to 1 modulo 4. This number e of prime 
factors may be zero. Should e be zero, the modulus n will hereinafter be 
called a basic modulus. Should e > 0, the modulus n will hereinafter be 
called a combined modulus. The f-e other prime factors are chosen to be 
congruent to 3 modulo 4. This number f-e of prime factors is at least equal 



to 2. 

Choice of f-e prime factors congruent to 3 modulo 4 

To produce the f-e prime factors p lf , p^, . . . p f ^ congruent to 3 modulo 
4, the following steps are implemented: 

- the first prime factor p x congruent to 3 modulo 4 is chosen and then, 

- the second prime factor p 2 is chosen such that p 2 is complementary 
to p x with respect to the base number g v 

To choose the factor p i+1 , the following procedure is used in 
distinguishing two cases: 

(1) the case where i> m 

Should i> m, the factor p i+1 congruent to 3 modulo 4 is chosen. 

(2) Case where i<m 

Should i<m, the Profile (Profile,(g|)) of gj with respect to i first prime 
factors pj is computed: 

• if the ProfilejCgi) is flat, the factor p l+1 is chosen such that p M is 
complementary to p x with respect to gj, 

• else, among the i-1 base numbers g 19 g 2 , — g^ and all their 
multiplicative combinations, the number, hereinafter called g is chosen such 
that Profile 4 (g) = Profile,(g,), and then p M is chosen such that 
Profile I+1 ( g| ) * Profile,^). 

The terms "complementary", "profile", "flat profile" have the 
meanings defined in the description. 

To choose the last prime factor p f ^ the following procedure is used in 
distinguishing three cases: 

(1) Case where f-e-1 > m 

Should f-e-1 > m, p f-€ is chosen congruent to 3 modulo 4. 

(2) Case where f-e-1 = m 

Should f-e-1 = m, Profile f ^. 1 (g m ) is computed with respect to f-e-1 
first prime factors from p x to p f ^ lf 
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• if Profae fHS . 1 (g m ) is flat, p M is chosen such that it is complementary 
to pj with respect to g m , 

• else, the procedure stipulated here below is followed: 

Among the m-1 base numbers from g t to g m , t and all their 
multiplicative combinations, the number hereinafter called g is chosen such 
that Profile,(g) = Profile,^) and then is chosen such that Profile,. 
e (g) * Proffle^gJ. 

(3) Case where f-e-1 < m 

If f-e-1 < m, then p r ^ is chosen such that the following two conditions 
are met: 

(3.1) First condition 

Profile^^g^) is computed with respect to the f-e-1 first prime 
factors from p t to p f ^. h Two cases are then to be considered. Depending 
on either of these two cases, the first condition will be different. 

If Profile f ^. 1 (g f . e . 1 ) is flat, p f ^ is chosen so that it meets the first 
condition of being complementary to p x with respect to g {meml (first 
condition according to the first case). Else, among the f-e-1 base numbers 
from gj to g m _! and all their multiplicative combinations, the number, 
hereinafter called g, is chosen such that Profile,(g) = Proflle^fe^) and 
then p f-c is chosen so that it meets the condition of being such that 
Profile^ (g) * Profile^ (g m ), (first condition according to the second 
case). 

(3.2) Second condition 

Among all the last base numbers from g tme to g m , those numbers 
whose Profile Profile f ^. 1 (g l ) is flat are chosen and then p f-€ is chosen so 
that it meets the condition of being complementary to p! with respect to 
each of the base numbers thus selected (second condition). 

Choice of e prime factors congruent to 1 modulo 4 

To produce the e prime factors congruent to 1 modulo 4, each prime 
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factor candidate p is evaluated, from to p^ in being subjected to the 
following two successive tests: 

(1) First test 

The Legendre symbol is computed for each base number g u from gj to 
5 g m , with respect to the candidate prime factor p, 

• if the Legendre symbol is equal to -1, the candidate p is rejected, 

• if the Legendre symbol is equal to +1, the evaluation of the 
candidate p is continued in passing to the following base number and then, 
when the last base number has been taken into account, there is a passage 

10 to the second test. 

(2) Second test 

An integer number t is computed such that p-1 is divisible by 2\ but 
not by 2 l+l , then an integer s is computed such that s = {\)-l+2 x )l2 M . 

The key (s, p) is applied to each public value Gjto obtain a result r 
15 rs G f s modp 

If r is equal to g f or - g h the second test is continued in passing to the 
following public value G I+ j. 

If r is different from g! or - g, a factor u is computed in applying the 
following algorithm specified for an index ii ranging from 1 to t-2. The 
20 algorithm implements two variables: w initialized by r and jj = 2 U assuming 

values ranging from 2 to 2 t 2 , as well a number b obtained by application of 
the key <(p-l)/2 t , p) to a non-quadratic residue of CG(p). The algorithm 
consists in repeating the following sequence as many times as is necessary: 

• Step 1: w 2 /Gj (mod p) is computed, 

25 • Step 2: the result is raised to the power of 2 t U1 . Two cases are to be 

considered. 
First case 

If +1 is obtained, there is a passage to the following public value G i+1 
and the second test is performed for this public value. 



8 



Second case 

If — 1 is obtained, jj = 2" is computed and then w is replaced by w.b" 
(mod p). Then, the algorithm is continued for the following value having 
an index ii. 

At the end of the algorithm, the value in the variable jj is used to 
compute an integer u by the relation jj = 2 t u and then the expression t-u is 
computed. Two cases arise: 

• if t-u < k, the candidate p is rejected 

• if t-u > k, the evaluation of the candidate p is continued in passing 
to the following public value G, +1 and then in continuing the second test. 

The candidate p is accepted as a prime factor congruent to 1 modulo 
4 if, at the end of the second test, for all the m public values G„ it has not 
been rejected. 

Application to the public and private values of GQ2 

The present invention also relates to a method (GQ2 method) 
applying the method that has just been described and making it possible, it 
may be recalled, to produce f prime factors p v p^, ... p f having special 
properties; The method for the application of the method that has just 
been described is designed to prove the following to a controller entity, 

- the authenticity of an entity and/or 

- the integrity of a message M associated with this entity, 

This proof is established by means of all or part of the following 
parameters or derivatives of these parameters: 

- m pairs of private values Q 2 , ... Q m and public values G l9 G 2 , ... 
G m (m being greater than or equal to 1), 

- the public modulus n constituted by the product of said prime factors f p 19 
P25 ••• Pr (f being greater than or equal to 2), 

- the public exponent v. 

Said modulus, said exponent and said values are linked by relations 
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of the following type: 

Gj . Qi V = 1 . mod n or G, = Q, v mod n . 

* 

Said exponent v is such that 

v = 2 k 

5 where k is a security parameter greater than 1 . 

Said public value Gj is the square gi 2 of the base number g| smaller 
than the f prime factors p 15 pj, ... p r The base number g { is such that the 
two equations: 

x 2 = gj mod n and x 2 = - gj mod n 

10 cannot be resolved in x in the ring of integers modulo n and such that the 

equation: 

x v = gj 2 mod n 

can be resolved in x in the ring of the integers modulo n. 

Said method implements an entity called a witness in the following 
15 steps. Said witness entity has f prime factors p f and/or parameters of the 

Chinese remainders of the prime factors and/or of the public modulus n 
and/or the m private values Q and/or fan components Q u (Q^j e Q, mod 
Pj) of the private values Q,and of the public exponent v. 

The witness computes commitments R in the ring of integers modulo 
20 n. Each commitment is computed: 

• either by performing operations of the type: 

R = r v modn 
where r is a random factor such that 0 < r < n, 

• or by performing operations of the type: 
25 R j = r, v mod p, 

where r,is a random value associated with the prime number p f such that 0 
< r,< p„ each r, belonging to a collection of random factors {r t , r 2 , ... r f ), 
then by applying the Chinese remainder method. 

The witness receives one or more challenges d. Each challenge d 
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comprises m integers hereinafter called elementary challenges. The 
witness, on the basis of each challenge d, computes a response D, 

• either by performing operations of the type: 

D = r,Q 1 dl ^Q 2 d2 ....Q m dm modn 

• or by performing operations of the type: 

Di = it . Q u dl . * . . . mod Pi 

and then by applying the Chinese remainder method. 

The method is such that there are as many responses D as there are 
challenges d as there are commitments R, each group of numbers R, d, D 
forming a triplet referenced {R, d, D}. 

Preferably, in order to implement the pairs of private values Q l9 Q 2 , ... 
Q m and public values G 19 G 2 , ... G m as just described, the method uses the 
prime factors p l9 p 29 ... p f and/or the parameters of the Chinese remainders, 
the base numbers g l9 g 2 , ... g m and/or the public values G v G 2 , ... G m to 
compute: 

- either the private values Q 19 Q 2 , ... Q m by extracting a k-th square root 
modulo n of G„ or by taking the inverse of a k-th square root modulo n of 

- or the fan private components Q u of the private values Q 19 Q 2 , •.. 
Q m such that Q u = Q, (mod pj). 

More particularly, to compute the £m private components Q^j of the 
private values Q 19 Q 2 , •.. Q m : 

- the key <s, pj > is applied to compute z such that: 

z = G, s (mod Pj ) 

- and the values t and u are used. 

The values t and u are computed as indicated here above when Pj is 
congruent to 1 modulo 4. Hie values t and u are taken to be respectively 
equal to 1 (t=l) and 0 (u=0) where Pj is congruent to 3 modulo 4. 

If the value u is zero, we consider all the numbers zz such that: 
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• • • zz is equal to z or such that 

• • • zz is equal to a product (mod p } ) of z by each of the 
2 iM 2"-th primitive roots of unity, ii ranging from 1 to min(k,t). 

If u is positive, we can consider all the numbers zz such that zz is 
equal to the product (mod pp of za by each of the 2 k 2 k -th roots of unity, za 
designating the value of the variable w at the end of the algorithm 
described here above. 

At least one value of the component Q UJ is deduced therefrom. It is equal to 
zz when the equation G, s Q, v mod n is used or else it is equal to the inverse of zz 
modulo pj of zz when the equation G,. Q, v s 1 . mod n is used. 
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Description 

The goal of GQ technology may be recalled: it is the dynamic 
authentication of entities and associated messages as well as the digital 
signature of messages. 

The standard version of GQ technology makes use of RSA 
technology. However, although the RSA technology truly depends on 
factorizing, this dependence is not an equivalence, far from it, as can be 
shown from attacks, known as multiplicative attacks, against various digital 
signature standards implementing RSA technology. 

In the context of GQ2 technology, the present part of the invention 
relates more specifically to the production of sets of GQ2 keys designed to 
provide for dynamic authentication and digital signature. The GQ2 
technology does not use RSA technology. The goal is a twofold one: 
firstly to improve performance with respect to RSA technology and 
secondly to prevent problems inherent in RSA technology. The GQ2 
private key is the factorization of the modulus n. Any attack on the GQ2 
triplets amounts to the factorizing of the modulus n: this time there is 
equivalence. With the GQ2 technology, the work load is reduced both for 
the entity that signs or is authenticated and for the one that controls. 
Through an improved use of the problem of factorization, in terms of both 
security and performance, the GQ2 technology rivals the RSA technology. 

The GQ2 technology uses one or more small integers greater than 1, 
for example m small integers {m > 1) called base numbers and referenced g f . 
Then, a public verification key <v, n> is chosen as follows. The public 
verification exponent v is 2* where k is a small integer greater than 1, 
(k > 2). The public modulus n is the product of at least two prime factors 
greater than the base numbers, for example / prime factors (f > 2) 
referenced by p p from p x ...p f The /prime factors are chosen so that the 
public modulus n has the following properties with respect to each of the 
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m base numbers from g x to g m . 

- Firstly, the equations (1) and (2) cannot be resolved in x in the ring of 
the integers modulo n, that is to say that g, and-g f are two non- 
quadratic residues (mod ri). 

5 x 2 = g t (mod ri) (i) 

x 2 = ~gi (mod ri) (2) 

- Secondly, the equation (3) can be resolved in x in the ring of the 
integers modulo n. 

x 2 =gf (mod ri) ( 3) 

10 Hereinafter, these properties are also called the GQ2 principles. 

Since the public verification key <v, ri) is fixed according to the base 
numbers from gj to g m with m > 1, each base number g, determines a pair of 
values GQ2 comprising a public value G, and a private value giving m 
pairs referenced G, g, to G m Q m . The public value G, is the square of the 
is base number gf. giving G, = g?. The private value is one of the solutions 

to the equation (3) or else the inverse (mod ri) of such a solution. 

Just as the modulus n is broken down into /prime factors, the ring of 
the integers modulo n are broken down into / Galois fields, from CG(pj) to 
CG(p 7 ). Here are the projections of the equations (1), (2) and (3) in CG^). 
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x = gi (mod pj) (1 a) 

x 2 = - gi (mod Pj ) (2 a) 

x 2k =gf (mod Pj ) (3>a) 

Each private, value Q, can be represented uniquely by / private 
components, one per prime factor: = G, (mod pj). Each private 
25 component Q u is a solution to the equation (3.a) or else the inverse (mod 

pj) of such a solution. After all the possible solutions to each equation (3.a) 
have been computed, the Chinese remainder technique sets up all the 
possible values for each private value Q, on the basis of / components of 
Qu to Qij Qi = Chinese remainders ((£,„ ... so as to obtain all the 
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possible solutions to the equation (3). 

The following is the Chinese remainder technique: let there be two 
positive integers that are mutually prime numbers a and b such that 
0 < a < b, and two components X a from 0 to a-l and X b from 0 to b-l . It is 
required to determine X = Chinese remainders (X^ X b \ namely the single 
number X of 0 to a.b-1 such that X a = X (mod a) and X b = X (mod b). The 
following is the Chinese remainder parameter: a= {b (mod a)}' 1 (mod a). 
The following is the Chinese remainder operation: e = X b (mod a); 8 = 
X-ei if 8 is negative, replace 8 by 8¥a\ y=oc*8 (mod a); X = y . b + X b . 

When the prime factors are arranged in increasing order, from the 
smallest p x to the greater p p the Chinese remainder parameters can be the 
following (there are/-l, namely at least one of the prime factors). The first 
Chinese remainder parameter is a = {p 2 (mod Px)}' 1 (mod p { ). The second 
Chinese remainder parameter is /? = {p v p 2 (mod ft)}" 1 (mod p 3 ). The i-th 
Chinese remainder parameter is X = {p v p 2 . - • . A_i ( mod A)}" 1 (mod /?,). And 
so on and so forth. Finally, in f-l Chinese remainder operations, a first 
result (mod p 2 times p t ) is obtained with the first parameter and then a 
second result (mod p v p 2 times p 3 ) with the second parameter and so on and 
so forth until a result (mod p v . . . p f JL time pj) 9 namely (mod n). 

The object of the invention is a method for the random production of 
any set of GQ2 keys among all the sets possible, namely: 

the random production of any moduli among all the GQ2 moduli 
possible, namely the moduli ensuring that, for each of the m base 
numbers g h the equations (1) and (2) cannot be resolved in jc in the ring 
of integers modulo n while the equation (3) has one of them, 
computing all the possible solutions to each of the equations (3.a). The 
Chinese remainder technique enables the obtaining of a private value 
Qi from each set of /components from Q ul to so as to obtain any 
solution in x for the equation (3) among all ht possible equations. 



15 



Qi = Chinese remainders G2 U > Q a , . . . QJ) 
To grasp the problem, and then understand the solution to be given 
to the problem, namely the invention, we shall first of all analyze the 
applicability of the principles of GQ2 technology. Let us start by recalling 
the notion of rank in a Galois field CG(p) in order to study the functions 
"raised to the square in CG(p)" and "take a square root of a quadratic 
residue in CG(p)". Then, we shall analyze the existence and number of 
solutions in x in CG(p) to the equations (l.a), (2.a) and (3. a). 
Rank of the elements in CG(p) 

Let us take a odd prime number p and a positive prime number a 
smaller than p. Let us thereafter define [X] . 

{X }={x l =a; puis, pour />1, jc /+ , = a.x i (mod p) } 

Let us calculate the term for the index i+p and let us use Fermat's theorem: 
x i+p = a p x i = a.x t = x i+l (mod p) 

Consequently, the period of the sequence {X} is p-1 or a divider of 
p-l. This period depends on the value of a. By definition, this period is 
called "the rank of a (mod p)". It is the index of appearance of unity in the 
sequence {X}. 

xrwiKc^l (mod p) 

For example, when (p-l)/2 is an odd prime number p\ the Galois field 
CG(p) comprises a single element with a rank 1: it is 1, a single element 
with rank 2. It is -1, p-l elements of a rank p', p'-l elements of the rank 
1.p\ namely of the rank p-l. 

The elements of CG(p) whose rank is p-l are called the primitive 
elements or again the generators of CG(p). The name is due to the fact that- 
their successive powers in CG(p), namely the terms of the {X} sequence for 
the indices going from 1 to p-l, form a permutation of all the non-zero 
elements of CG(p). 

According to a primitive element y of CG(p), let us evaluate the rank 
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of the element y (modp) as a function of i and p-L When i is a prime 
number withp-1, it is p-\. When i divides p-1, it is (p-l)/L In all cases, it 
is (p-l)/pgcd(p-l, i). 

The Euler function is referenced by cp. By definition, since n is a 
positive integer, <p(n) is the number of positive integers smaller than n that 
are prime numbers with n. In the field CG(p), there arc therefore <p(p-l) 
primitive elements. 

By way of an illustration, here is the base of the RSA technology. 
The public modulus n is the product of /prime factors from p x to p f with /> 
2, such that for each prime factor p j9 the public exponent v is a prime 
number with p r \. The key <v, p) complies with the rank of the elements of 
CGipJ): it permutates them. The inverse permutation is obtained with a 
key (s p pj) such that p r \ divides v.s r l. 

Squares and square roots in CG(p) 

The elements x and p-x have the same square in CG(p). The key <2, 
p) do not permutate the elements of CG(p) because p-l is an even value. 
For each prime number /?, let us define an integer / as follows: p-l is 
divisible by 2', but not by 2 /+1 , namely p is congruent to 2'+l (mod 2 /+1 ). 
For example t = 1 when p is congruent to 3 (mod 4); / = 2 when p is 
congruent to 5 (mod 8); t = 3 when p is congruent to 9 (mod 16); t = 4 
when p is congruent to 17 (mod 32); and so on and so forth. Each odd 
prime number is seen in one and only one category: p is seen in the f-th 
category. In practice, if we consider a fairly large number of successive 
prime numbers, about one in every two is found in the first category, one in 
four in the second, one in eight in the third, one in sixteen in the fourth,, 
and so on and so forth. In short, one in 2' on an average is found in the 
f-th category. 

Let us consider the behavior of the function "raise to the square in 
CG(p) M according to the parity of the rank of the argument. 
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There is only one fixed element: it is 1. The square of any other 
element of an odd-parity rank is another element having the same rank . 
Consequently, the key <2, p) permutates all its (p-l)/2' odd-parity rank 
elements. The number of permutation cycles depends on the 
5 factorization of (p-l)/2 r . For example, when (p-l)/2' is a prime number 

p \ there is a big permutation cycle comprising p -1 elements. 
The square of any even-parity rank element is another element whose 
rank is divided bv two. Consequently, the even-parity ranking 
elements are distributed over (p-l)/2' branches. Each non-zero 

10 element with an odd-parity rank bears a branch with a length / 

comprising 2-1 elements, namely: an element of a rank divisible by 
two but not by four and then, if / > 2, two elements of a rank divisible 
by four but not by eight, and then if t > 3, four elements of a rank 
divisible by eight but not by sixteen, and then if t > 4, eight elements of 

15 a rank divisible by sixteen but not by 32 and so on and so forth. The 

2'" 1 ends of each branch are non-quadratic residues; their rank is 
divisible by 2'. 

Figures 1A to ID illustrate the function "raise to the square in CCKp)" 
by an oriented graph where each of the p-1 non-zero elements of the field 
20 finds its place: the non-quadratic residues are in white and the quadratic 

residues are in black; among the quadratic residues, the odd-parity ranking 
elements are in circles. 

These figures show respectively; 

Figure 1 A: the case where p is congruent to 3 (mod 4); 
25 - Figure IB: the case where p is congruent to 5 (mod 8); 

Figure 1C: the case where p is congruent to 9 (mod 16); 
Figure ID: the case where p is congruent to 17 (mod 32). 
Let us now look at the way to calculate a solution in x to the 
equation x* s a (mod p\ it being known that a is a quadratic residue of 
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CG(p\ namely how "to take a square root in CG(p)". There are of course 
several ways of obtaining the same result: the reader can advantageously 
consult Henri Cohen, "A Course in Computational Algebraic Number 
Theory", published, Springer, Berlin, 1993, pp. 31-36 as well, as "Graduate 
5 Texts in Mathematics" , vol. 138 (GTM 138). 

Let us calculate an integer s = (p-l+20/2' +1 to establish a key (s, p). 
Let: <(p+l)/4,p> when p is congruent to 3 (mod 4), <(p+3)/8, p) when p is 
congruent to 5 (mod 8), <(p+7)/16, p) when p is congruent to 9 (mod 16), 
<(p+15)/32,p) when p is congruent to 17 (mod 32), and so and so forth. 
10 - The key (s, p) gives the odd-parity ranking square root of any odd- 

parity ranking element Indeed, in CG(p), rVa is equal to a raised to the 
power (2.(p-l+20/2 ' +1 )-1 = (p-l)/2'. Consequently, when a is in a 
cycle, the key (s, p) converts a into a solution that we shall call w. The 
other solution is p-w. 

15 - In general, the key (s, p) converts any quadratic residue a into a first 

approximation of a solution which shall be called r. The following are 
two key points followed by a rough sketch of a method for the step- 
by-step improvement of the approximation up to a square root of a. 
- Firstly, since a is a quadratic residue, the key <2*~\ p) certainly 
20 converts r*la into 1. 

Secondly, it may be assumed that we know a non-quadratic 
residue of CG(p) that we name y; the key <(p-l)/2', p) converts y 
into an element that shall be called b: this is a root 2' _1 -th of-1. 
Indeed, y^ lV2 = _l (mod p). Consequently, in CG(p), the 
25 multiplicative group of the 2' 2'-th roots of unity is isomorphic to. 

the multiplicative group of the powers of b for the exponents from 
lto2'. 

To approach a square root of a, let us raise rVa to the power of 2'~ 2 
(mod p): the result is +1 or -1. The new approximation remains r if 
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the result is +1 or else it becomes b.r (mod p) if the result is— 1. 
Consequently, the key <2'"\ p) certainly converts the new 
approximation into 1. It is possible to continue to approach the 
required value: at the next step, an adjustment will be made if 
necessary by multiplying by b 2 (mod p) and so on and so forth. 
The following algorithm makes successive approximations to reach a 
square root of a from the integers r and b defined here above; it uses two 
integer variables: w initialized by r to represent the successive 
approximations and jj assuming values among the powers of 2, from 2 to 
2'" 2 . 

For i ranging from 1 to t-2, repeat the following sequence: 
- Compute tvVa (mod p), then raise the result to the power 2 r-M (mod p): 
+1 or -1 should be obtained. When -1 is obtained, compute jj = 2', then 
replace w by w.b" (mod p). When +1 is obtained, do nothing. 

At the end of the computation, w and p-w are two square roots of a 
in CG(p). Furthermore, we learn that the rank of a in CG(p) is divisible by 
2'ljj but not by 2'* l Jjj. The relevance of this observation will be seen 
further below. 

Analysis of the principles of GQ2 technology in CG(p) 

Let us take two integers g and k greater than 1 and a prime number p 
greater than g. Let us analyze the existence and number of solutions in x 
in CG(p) in the equations (l.a), (2.a) and (3.a). 

In the Galois field CG(p), let us distinguish different cases depending 
on the value of /, namely, according to the power of two which divides 
p-l. It may be recalled that p-1 is divisible by 2', but not by 2' +1 , namely 
that p is congruent to 2'+l (mod 2' +1 ). The previous analysis gives us a 
fairly precise idea of the problem raised as well as a rough solution. 

When t = 1, p is congruent to 3 (mod 4). The Legendre symbols of g 
and-g with respect to p are different: any quadratic residue of CG(p) has 
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two square roots in CG(p): one is a quadratic residue and the other is a 
non-quadratic residue. Firstly, one of the two equations (La) or (2.a) has 
two solutions in x in CG(p) and the other does not have any. Secondly, 
the equation (3.a) has two solutions in x in CG(p) whatever the value of k. 

When / = 2, p is congruent to 5 (mod 8). Two cases occur, 
depending on the Legendre symbol of g with respect to p. When the 
symbol is equal to -1, g and-g are both non-quadratic residues of CG(p): 
the three equations (La), (2.a) and (3.a) have no solution in x in CG(p). 
When the symbol is equal to +1, g and-g are two quadratic residues of 
CG(p), each equation (La) and (2.a) has two solutions in x in CG(p). 
Furthermore, the rank of g 2 in CG(p) is an odd-parity value implying that 
whatever the value of k, the equation (3.a) has four solutions in x in CG(p) 
of which only one has an odd-parity rank. 

Figure 2 illustrates the solutions to the equation (3.a) with k = 6 and 
p congruent to 5 (mod 8), giving t = 2. It may be noted that, because the 
Legendre symbol of 2 with respect to p congruent to 5 (mod 8) is equal to 
_l 2 (p-w ( mo dp) is then a square root of-L We therefore have: 
p s 5 j(mod 8); consequently (2|p)= - 1 
p s 2 4 (mod /?); hence b 2 = -1 (mod p) 

When t = 3, p is congruent to 9 (mod 16). Let us consider the 
Legendre symbol of g with respect to p. When the symbol is equal to -1, g 
and -g are two non-quadratic residues of CG(p): the three equations (l.a), 
(2.a) and (3.a) have no solution in x in CG(p). When the symbol is equal to 
+1, g and-g are two quadratic residues of CG(p); each equation (La) and 
(2.a) has two solutions in x in CG(p). The existence of solutions in x to the 
equation (3.a) depends on the rank of g 2 in CG(p). This rank is an odd- 
parity value or is divisible by two but not by four. When the rank of g 2 in 
CG(p) is divisible by two but not by four, the equation (3.a) has four 
solutions in x in CG(p) for k = 2; it cannot go above k > 3. When the rank 
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of g 2 in CG(p) is an odd-parity value, the equation (3.a) has four solutions 
in x in CG(p) for k = 2 and eight for k>3. In both cases, only one value is 
an odd-parity value. 

When * = 4, p is congruent to 17 (mod 32). Let us. consider the 
Legendre symbol of g with respect to p. When the symbol is equal to -1, g 
and -g are two non-quadratic residues of CG(p): the three equations (l.a), 
(2.a) and (3.a) have no solution in x in CG(p). When the symbol is equal to 
+1, g and-g are two quadratic residues of CG(p); each equation (l.a) and 
(2.a) has two solutions in x in CG(p). The existence of solutions in x to the 
equation (3.a) depends on the rank of g 2 in CG(p). This rank is an odd- 
parity value or is divisible by two or four but not by eight. When the rank 
of g 2 in CG(p) is divisible by two but not by eight, the equation (3.a) has 
four solutions in x in CG(p) for k = 2;it cannot go above k>3. When the 
rank of g 2 in CG(p) is divisible by two but not by four, the equation (3.a) 
has four solutions in x in CG(p) for k = 2 or eight for k = 3; it has no 
solutions for k £ 4. When the rank of g 2 in CG(p) is an odd-parity value, 
the equation (3.a) has four solutions in x in CG(p) for k = 2 and eight for k 
> 3 and sixteen for k>4. In all three cases, only one value is an odd-parity 
value. 

And so on and so forth so that the case where p is congruent to 1 
(mod 4) can be summarized as follows. 

When p is congruent to 1 (mod 4), let us consider the Legendre 
symbol of g with respect to p. When the symbol is equal to -1, g and-g 
are two non-quadratic residues of CG(p): the three equations (La), (2.a) 
and (3.a) have no solution in x in CG(p). When the symbol is equal to +1,. 
g and-g are two quadratic residues of CG(p); each equation (La) and (2.a) 
has two solutions in x in CG(p). Let us define the integer u: the rank of g 2 
in CG(p) is divisible by 2", but not by 2" +1 . The value of u is among the t-l 
possible values, from 0 to t-2. The existence and the number of solutions 
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in x in CG(p) to the equation (3.a) depend on the values of k, t and u. 
When u is positive and k is greater than t-u, the equation (3.a) does not 
have a solution in jc in CG(p). When u is zero and k is greater than t y the 
equation (3.a) has 2' solutions in x in CG(p). When k is smaller than or 
equal to r-w, the equation (3.a) has 2* solutions in x in CG(p). 

Applicability of the GQ2 principles in the rings of integers 
modulo 

In order that the equation (1) and (2) respectively may have no 
solution in x in the ring of the integers modulo n, it is necessary and 
sufficient that, for at least one of the prime factors /?, from p x to p p the 
equation (La) and (2.a) respectively will have no solution in x in CG(p). 

In order that the equation (3) may have solutions in x in the ring of 
the integers modulo n, it is necessary and sufficient that, for each of the 
prime factors /?, from p x to p fi the equation (3.a) should have solutions in jc 
in CG(p). 

The equation (3) prohibits any prime factor p congruent with 1 (mod 
4) as soon as, for one of the base numbers g, from g x to g m : either the 
Legendre symbol of g with respect to p is equal to-1; or else the Legendre 
symbol of g with respect to p is equal to +1 with the condition: u positive 
and greater than t-k. In order that a prime factor p congruent to 1 (mod 4) 
may be possible, it is necessary to fulfill one of the following two 
conditions for each of the base numbers g, from g x to g^ according to the 
two integers t and u defined here above. Either the rank of G = g 2 is an 
odd-parity rank in CG(p), namely u = 0, whatever the value of k. Or else 
the rank of G = g 2 is an even-parity rank value in CG(p), namely u > 0 and 
it meets the condition: u + k<t. 

A product of prime factors congruent to 1 (mod 4) cannot fulfill all 
the principles of GQ2 technology. Each GQ2 modulus must have at least 
two prime factors congruent to 3 (mod 4) such that, for each base number 
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g, the Legendre symbol of g with respect to on of these factors differs from 
the Legendre symbol of g with respect to the other. When all the prime 
factors are congruent to 3 (mod 4), it will be said that the GQ2 modulus is 
basic. When, in addition to at least two prime factors congruent to 3 (mod 
4), the modulus includes one or more prime factors congruent to 1 (mod 4), 
it will be said that the modulus GQ2 is combined. 
Systematic construction of moduli GQ2 

At the outset, it is necessary to fix the total constraints to be dictated 
on the modulus n: a size expressed in bits (for example, 512 or 1024 bits) 
as well as a number of most significant successive bits at 1 (at least one of 
course typically 16 or 32 bits), a number /of prime factors and a number e 
(possibly zero) of prime factors having to be congruent to 1 (mod 4); the 
other prime factors, namely f-e factors, at least two, must be congruent to 3 
(mod 4). The modulus n will be the product of /prime factors of similar 
sizes. When e = 0, a basic modulus GQ2 is obtained; when e>0, a 
combined modulus GQ2 is obtained. A basic modulus is the product of 
prime factors all congruent to 3 (mod 4). A combined modulus GQ2 
appears therefore as t he product of a basic modulus GQ2 multiplied hy one 
or more other prime factors congruent to 1 (mod 4V First of all, prime 
factors congruent to 3 (mod 4) are produced. Then, if e > 0, prime factors 
congruent to 1 (mod 4) are produced.. 

For the efficacy of the constr uction of GQ2 moduli, it is definitely 
better to select each candidate before seeking to find out if it is a prime 
value. 

Referenced by g, g 2 ... , the base numbers are found typically among 
the first prime numbers: 2, 3, 5, 7, ... If there are no indications to the 
contrary, the m base numbers are the m first prime numbers: g 1 = 2, g 2 = 3, 
8i = 5, g 4 = 7, ... However, the following points must be noted: 2 must be 
avoided if a factor congruent with 5 (mod 8) is anticipated; 3 must be 
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avoided if the public key (3, n) has to be used as the RSA public 
verification key. 

Choice of f-4 prime factors congruent with 3 (mod 4) 
On the basis of the second factor, the program requests and uses one 
base number per factor. For the choice of the last factor congruent with 3 
(mod 4), the program finds out if there are other base numbers, namely if m 
is equal to or greater than f-e and then, if this is the case, requests and 
takes account of the last base numbers, from g f ^ to g m . To formalize the 
choice of the prime factors congruent with 3 (mod 4), we have introduced 
a notion of the profile. The profile characterizes an integer g with respect 
to a set of prime factors greater than g and congruent with 3 (mod 4\ 

- When an integer g has the same Legendre symbol with respect to two 
prime factors, it is said that the prime factors are equivalent with respect 
to g. Else, they are complementary with respect to g. 

- Referenced by Profile/g), the profile of an integer g with respect to / 
prime factors p x p 2 ... p f is a sequence of /bits, one bit per prime factor. 
The first bit is equal to 1; each following bit is equal to 1 or 0 depending 
on whether the next factor is equivalent or complementary to p x with 
respect to g. 

- When all the bits of a profile are equal to 1, it is said that the profile is 
flat . In such a case, all the Legendre symbols of g are equal to +1 or else 
to-L When the profile of g is not flat, the equations (1) and (2) cannot 
be solved in x in the ring of the integers modulo n. 

- By definition, the profile of g with respect to a single prime number 
congruent to 3 (mod 4) is always flat This extension is used to 
generalize the algorithm of choice of the prime factors congruent to 3 
(mod 4). 

When the profiles of two base numbers g x and g 2 are different, which 
implies at least three prime factors congruent to 3 (mod 4), the knowledge 
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of the two private values Q l and Q 2 induces knowledge of two different 
decompositions of the modulus n. When the base numbers are small prime 
numbers, the program ensures that the profiles of 2?— l -l multiplicative 
combinations of f-e-1 basic prime numbers are all different: they take all 
the possible values. The notion of profile does not extend to the p rimp. 
factors congruent to 1 (mod 4V 

First prime factor p, congruent to 3 (mod 4): each candidate must 
be congruent to 3 (mod 4) without any other particular constraint. 

Second prime factor p 2 congruent to 3 (mod 4) with the first base 
number g l being taken into account: each candidate must be 
complementary to p, with respect to g v 

Third prime factor p 3 congruent to 3 (mod 4) with the second base 
number g 2 being taken into account: according to the profile of g 2 with 
respect to two first prime factors p l and p 2 , two cases occur. When 
Profile2(g2) is flat, each candidate must be complementary to p x with 
respect to g 2 . Else, we have Profile^) = Profilejtez); each candidate must 
then ensure that Profilea^) * Profiles^j). 

Choice of i-th prime factor p M congruent to 3 (mod 4) with the 
base number g t being taken into account: according to the profile of g t 
with respect to i first prime factors p lf p 2 , ... p„ two cases occur. When 
ProfileXg/) is flat, each candidate must be complementary to p x with respect 
to gj. Else, among the i-1 base numbers g lt g 2 , ... g w and all then- 
multiplicative combinations g x .g 2 , ...,g x .g 2 . ... namely 2' _1 -1 integers in 
all, there is one and only one integer g such that ProfileXg,) = ProfileXg); 
each candidate must then ensure that Profile*^) * Profile /+I (g). 

Last prime factory congruent to 3 (mod 4) with the base number 
gj^.1 and the other base numbers from g^ to g m being taken into account: 
the constraints due to the base number g f _^_ x are taken into account as 
above. Furthermore, when m is equal to or greater than f-e, each 
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candidate must provide for a non-flat profile for the last base numbers, from 
8/-* to 8 m > with respect to the f-e prime factors. Each candidate must be 
complementary to p x with respect to all the values of g. for which 
Profile^te,) is flat 

In short, the prime factors congruent to 3 (mod 4) are chosen as a 
function of one another. 

For i ranging from 0 to f-e-h to choose the i+l-th prime factor 
congruent to 3 (mod 4), the candidate p M must successfully pass the 
following examination: 

V If / > m or if / = 0, then the candidate p M has no other constraint; it is 

therefore accepted. 
S If 0 < i < m, then the candidate p i+l must take account of the i-th base 
number g.. The profile Profile^) of the base number g t with respect to 
the i first prime factors from p x to p i is computed. Depending on the 
result, one and only one of the two following cases may occur: 

If the profile is flat, then the candidate p M must be complementary 
to/?! with respect to g t ; else, it must be rejected. 
- Else, among the /-l base numbers and all their multiplicative 
combinations there is one and only one number that we call g such 
that Profile,^) = Profile,^,); then the candidate p i+l must be such 
that Profile l+1 (g) * Profile,^); else, it must be rejected. 
f If i+l =/-<? and i < ftt, namely to choose the last prime factor congruent 
to 3 (mod 4) when there remain base numbers, from g f _^ to g m , which 
have not yet been taken into account, the candidate p f ^ must take them 
into account: among these base numbers, those numbers whose profile 
Erofilc^e_i(ft) is flat are chosen; the candidate p f ^ must be 
complementary to p x with respect to each of the base numbers thus 
selected; else they must be rejected. 

The candidate is accepted because it has successfully undergone the 
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appropriate tests. 

Choice of e prime factors congruent to 1 (mod 4) 

To be acceptable, each candidate p congruent to 1 (mod 4) must fulfill 
the following conditions with respect to each base number from g x to g m . 
Let us evaluate the Legendre symbol of each base number g x with 
respect to p. If the symbol is equal to -1, let us reject the candidate p 
and go to another candidate. If the symbol is equal to +1, let us 
continue the evaluation of the candidate. It must be noted that if an 
integer 2 is used as the base number, then all the candidates congruent 
to 5 (mod 8) must be removed: the base number 2 is incompatible with 
a factor congruent to 5 (mod 8). 

- Let us calculate an integer s = (p-l+20/2' +1 to establish a key (s,p). 
Let us apply the key (s, p) to each public value G f to obtain a result r. 
Two cases occur. 

- If r equals ft or -ft, then u = 0. In this case, and in this case alone, 
G, is in a cycle. A trivial case may be noted: G f is in a cycle 
provided that p is congruent to 5 (mod 8) and that the Legendre 
symbol of ft with respect to p is equal to +1. It may be recalled 
that G, = 4 is impossible in this case, 

- If r is equal to neither g g nor -ft, then u > 0; it must be noted that 
the key <(p-l)/2', p) converts every non-quadratic residue y into an 
element b which is a primitive 2'-th root of unity. The following 
algorithm computes u from r and b by using two integer variables: 
w initialized by r and jj taking values of 2 to 2'' 2 . 

For i going from 1 to f-2, repeat the following sequence: 

- Compute wVG, (mod pj) then raise the result to the power 2 M " 1 (mod pj): 
we must obtain +1 or -1. When -1 is obtained, compute jj = 2', then 
replace w by wJbP (mod pj). When +1 is obtained, do nothing. 

At the end of the computation, the variable w has the value ft or -ft. 
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Furthermore, we know that the rank of G, in CG(pj) is divisible by 2'Ijj but 
not by 2'* l Ijj, namely that jj determines the value of u by jj = 2' When v 
is greater than jj, namely k > t-u, reject the candidate and go to another 
candidate. When v is smaller than or equal to jj, namely k < t-u, continue 
the evaluation of the candidate. 

When the /prime factors have been produced, the public modulus n 
is the product of the / prime factors p„ p 2 , ... p t The unsigned integer n 
can be represented by a binary sequence; this sequence complies with the 
constraints imposed at the beginning of a program for the size in bits and 
for the number of successive most significant bits at 1. The choice of the 
prime factors provides for the following properties of the modulus n with 
respect to each of the m base numbers g x , g 2 , ... g m . Furthermore, the 
equations (1) and (2) have no solution in x in the ring of the integers 
modulo n. Secondly, the equation (3) has solutions in x in the ring of the 
integers modulo n. 

In short, the prime factors congruent to 1 (mod 4) are chosen 
independently of one another. While the factors congruent to 3 (mod 4) 
gradually take account of the base numbers, each prime factor congruent 
to 1 (mod 4) must take account of all the constraints dictated by each of 
the base numbers. Each prime factor congruent with 1 (mod 4), namely p, 
from p f ^ to Pf, should have successfully undergone the following 
examination in two steps. 

1) The step (1) is executed successively for each of the m base 
numbers from g t to g m . 

The Legendre symbol of the current base number g with respect to 
the candidate p is computed. One and only of the following two cases 
arises: if the symbol is equal to -1, the candidate is rejected. Else (the 
symbol is equal to +1), the examination is continued in passing to the base 
number g following the step (1). 
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When the candidate is acceptable for all the m base numbers, the 
operation passes to the step (2). 

2) The step (2) is executed successively for each of the m public 
values of G, to G m . 
An integer / is computed such that p-1 is divisible by 2' but not by 
2' +1 , then an integer s = (p-l+2*)/2' +1 , so as to set up a key (s y p). The key 
(s,p) is applied to the current public value G = g* to obtain a result r, 
namely: r=G s (mod/?) . Depending on the result, one and only one of 
the following states arises: 

a) If r is equal to g or to-g, then u = 0; the examination of the candidate 
is continued in passing to the following public value G at the step (2). 

b) Else, a positive number u is computed taking one of the values from 1 
to t-2, in applying the following algorithm which implements two 
variables: jj taking values ranging from 2 to 2' -2 and w initialized by 
r, as well as an integer b obtained by applying a key <(p-l)/2',p> to a 
non-quadratic residue of CG(p). 

For an index ii ranging from 1 to t-2, the following operation is 
repeated: 

wVG (modp) is computed and then a key <2' _ *- 1 ,p) is applied to 
the result to obtain +1 or -1 (else, there is proof that the 
candidate is not a prime factor). If -1 is obtained, then jj - 2" is 
computed and then c s b° (mod p), and then w is replaced by 
w.c (mod p), then there is a passage to the next index ii. If +1 is 
obtained, there is a passage to the next index ii. 
At the end of the algorithm, the value in the variable jj defines u by 
the relationship jj = 2'"*; the value in the variable w is a square root of 
G, namely g or -g (else, there is proof that the candidate is not a prime 
factor). Two cases occur: 

■ If t-u < k, then the candidate p is rejected because the branch 
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where G occurs is not long enough. 
■ If (f-w > k\ the evaluation of the candidate is continued in going 

to the next public value G following the step (2). 
When the candidate is acceptable for all the m public values, it is 
accepted as a prime factor congruent with 1 (mod 4). 
Computation of the associated values 

To obtain the private components, let us first calculate all the 
solutions to the equation (3.a) in the two simplest and most current cases 
before taking up the general case. 

For each prime factor pj congruent to 3 (mod 4), the key 
<(P/+l)/4, pj) gives the quadratic square root of any quadratic residue. From 
this, a method is deduced for computing a solution to the equation (3.a): 

Sj = ((p,.+l) / 4)* (mod (p r l)/2); then, Q u = G? (mod pj) 
or else rather the inverse (mod pj) of such a solution. 

Sj = (pj-iyWfpj+l) 1 4)* (mod (p r l)/2) ; then, Q u = G? (mod pj) 

In CG(pj) 9 there are then two and only two square roots of unity: +1 
and-1; there are therefore two solutions in x to the equation (3.a): the two 
numbers Q u and P/H2y are the same square G, (mod pj). 

For each prime factor pj congruent to 5 (mod 8), the key 
<(p/fl)/4,/? y ) gives the odd-parity ranking square root of any odd-parity 
ranking element. From this, a solution to the equation (3.a) is deduced: 

Sj = ((p y +3) / 8)* (mod (p r l)/4); then, Q u m G? (mod pj) 
or else rather the inverse (mod pj) of such a solution. 

Sj = (p r l)/4-((PA 3 ) 1 8 >* < mod (Pr !) /4 > i Qu = °i sj (mod pj) 
In CG(p y ), there are then four and only four fourth roots of unity; there arq 
therefore four solutions in x to the equation (3.a). Let us note that 2 teM)W 
(mod pj) is a square root of -1 because the Legendre symbol of 2 with 
respect to p congruent to 5 (mod 8) is equal to -1. If Q u is a solution, then 
Pf-Qij is another solution, as well as the product (mod pj) of Q u by a square 
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root of -1. 

For a prime factor p } congruent to 2'+l (mod2 M ), the key 

<(p / -l+20/2' + », p) gives the odd parity square root of any odd-parity 
ranking element. It is therefore possible to compute a solution to the 
equation (3.a). 

- Let us first of all compute an integer Sj s ((py-1+20/2" 1 )* (mod (p r \yZ) 
to set up a key (sj,pj). 

- ***** ke y <(Py-l+20/2 ,+1 , pj) converts G, into g, or into- gi , the rank 
of G, is an odd-parity value in CG(p y .) (u = 0). Then, the key ( Sj ,pj) 
converts G f into a number z: this is the odd-parity ranking solution to 
the equation (3.a). According to the values of t and k, there is still 
min(2*-l, 2'-l) other solutions on one or more branches. The branch of 
z 2 carries another solution: this is p r z. When t > 2, the branch of z 4 has 
two other solutions: it is the product of z by each of the two square 
roots of -1, namely each of the two primitive fourth roots of unity. 
Now, if y is a non-quadratic residue of CG(p y ), then (mod pj) is a 
square root of -1. In general, for z taking each value of 1 to min(jfc, t), the 
branch of the 2'-th power of z bears 2 M solutions: these are the 
products (mod Pj ) of z by each of the 2 W primitive 2'-th roots of unity. 
Now if y is a non-quadratic residue of CG(p y ), then y to the power 
(p r l)/2' is a 2'-th primitive root of unity that we call c. The 2 M to 2 f -th 
primitive roots of unity are the odd parity powers of c: c, c 3 (mod pj), c 5 
(mod pj), ... c to the power 2'-l (mod pj). 

- When the key <( P/ -l+2')/2' +1 , pj) converts G, into an integer r that is 
neither g, nor -g { , the rank of G t is an even-parity value in CGty) (u > 0). . 
Then, provided that G f is appropriately placed in a fairly lengthy branch, 
namely t > k + u, there are 2* solutions on the branch where G, is 
located. To compute a 2*-th root, it is enough to reiterate the above- 
stated square root computation algorithm k rank times, so as to compute 
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the square root of the successive results up to a solution z. This 
computation may of course be optimized to directly approach a 2*th 
root and then adjust the approximation of a 2*-th root in a single 
operation to achieve a solution z. To obtain all the other solutions, it 
may be noted first of all that if y is a non-quadratic residue of CG(pj), 
then y to the power (p r l)/2 k is a primitive 2*-th root of unity which we 
shall call d. The 2* 2*-th roots of unity are successive powers of d: d, d 2 
(mod pj), d 3 (mod pj), ... d to the power of 2*-l (mod pj), d to the power 
2* (mod pj) equal to 1. The 2* solutions on the branch where G, is 
located are the products (mod pj) of z for each of these roots. 
In short, to compute a component for the prime factor p and the 

base number g, with k, t and u being known, the following procedure is 

used: 

1) An integer is computed: s = ((p-l+2')/2' +1 )* (mod (p-l)/20 to set up a 
key (s, p). Then, the key (s,p) is applied to G to obtain z = (? (mod p). 
According to the value of u, there is a passage to the step (2) or (3). 

2) If u = 0, z is the odd-parity solution to the equation (3.a). There are still 
min(2*-l, 2'-l) other even-parity ranking solutions on one or more 
branches, very precisely on min(&, t) other branches. For i ranging 
from 1 to min(fc, t), the branch of the 2'-th power of z has 2 1 - 1 solutions: 
these are the products (mod p) of z by each of 2 M 2 f -th primitive roots 
of unity. The generic solution to the equation (3.a) is shown by zz. 
The operation goes to the step (4). 

3) If u> 0, all the solutions to the equation (3.a) are even-parity solutions. 
There are 2* of them and they are all in the branch on which G is 
located; indeed: t-u £ k. To compute a solution, the following 
algorithm implements two variables: jj assuming values ranging from 2 
to 2'~ 2 and w initialized by z, as well as an integer b obtained by 
applying a key ((p-l)/2', p) to a non-quadratic residue of CG(p). 
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The following sequence is repeated k ranking times. 
For an index ii ranging from 1 to f-2, the following operation is 
repeated: vP-IG (mod p) is computed and then a key (y-*- 1 ,/*) is 
applied to the result to obtain +1 or -1 (else there is j>roof that p is 
not a prime number). If -1 is obtained, then jj = 2" is computed, 
then csft" (mod p), then w is replaced by w.c (mod p\ then there is 
a passage to the next index ii. If +1 is obtained, there is a passage 
to the next index ii. 
At the end of the algorithm, the variable w has the value za. The 2* 
solutions on the branch where G is located are the products (mod p) of 
za by each of the 2*-th roots of unity. The generic solution to the 
equation (3.a) is represented by zz. The operation passes to the step 
(4). 

4) With zz being known, a component value is deduced therefrom: it is 
the inverse of modulo p when the equation G.Q v =l (mod n) is used 
and zz when the equation G=Q V (mod n) is used. 
Note. There are various methods to obtain the private components and the 
private values. If a collection off components is known, namely the / 
components for a given base number, the Chinese remainder technique is 
used to compute the corresponding private value. It can be seen that for a 
given public value G and a modulus n, it is possible to have several 
possible private values Q. There are four of them when n is the product of 
two prime factors congruent to 3 (mod 4); there are eight of them with 
three prime factors congruent to 3 (mod 4); there are sixteen of them with 
two prime factors congruent to 3 (mod 4) and one congruent to 5 (mod 8).. 
A judicious use of these multiple values may complicate the attacks by 
analysis of the electrical consumption of a chip card using GQ2. 

Thus, as and when t increases, the program gets complicated for 
increasingly rare cases. Indeed, the prime numbers are distributed on an 
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average as follows: / = 1 for one in two, / = 2 for one in four, * = 3 for one 
in eight and so on and so forth. Furthermore, the constraints due to m base 
numbers make the candidacies increasingly unacceptable. Whatever the 
case may be, the combined moduli definitively form.. .part of GQ2 
technology; the type of GQ2 modulus in no way affects the dynamic 
authentication and digital signature protocols . 

Figure 3 illustrates G, = gf in a cycle with a prime factor p congruent 
to 9 (mod 16), namely t = 3, u = 0, as well as k > 3. It may be noted that: 

£zi 

b = y 8 (mod p) 
b*=l (modp) 
b 4 =-l (mod p) 

Figure 4 illustrates G f = gf on a branch with a prime factor p congruent 
to 65 (mod 128), namely t = 6 as well as k - 4 and u = 2. 

Here is a first set of keys GQ2 with k = 6, giving v = 64, m = 3, giving 
three base: g, = 3, g 2 = 5 et g 3 = 7, and /= 3, namely a modulus with three 
prime factors: two congruent to 3 (mod 4) and one to 5 (mod 8). It must be 
noted that g = 2 is incompatible with a prime factor congruent to 5 (mod 
8). 

p, = 03CD2F4F21E0EAD60266D5CFCEBB6954683493E2E833 

(2 | Pl ) = -1 ; (3 | Pl ) = +1 ; (5 | Pl ) = -1 ; (7 1 Pl ) = +1 

/? 2 = 0583B097E8D8D777BAB3874F2E76659BB614F985EC1B 

(2|p 1 ) = -l;(3| / 7 1 ) = -l;(5|p,) = +l;(7|p 1 ) = -l 

p 3 = 0C363CD93D6B3FEC78EE13D7BE9D84354B8FDD6DA1FD 

(2 | Pl ) = -1 ; (3 | p,) = +1 ; (5 | Pl ) = +1 ; (7 1 p.) = +1 

n= Pl .p 2 .p 3 = FFFF81CEA149DCF2F72EB449C5724742FE2A3630D9 

02CC00EAFEE1B957F3BDC49BE9CBD4D94467B72AF28CFBB26144 

CDF4BBDBA3C97578E29CC9BBEE8FB6DDDD 

Q u = 0279C60D216696CD6F7526E23512DAE090CFF879FDDE 

Q 2il = 7C977FC38F8413A284E9CE4EDEF4AEF35BF7793B89 
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Q 3l = 6FB3B9C05A03D7CADA9A3425571EF5ECC54D7A7B6F 
G1.2 = 0388EC6AA1E87613D832E2B80E5AE8C1DF2E74BFF502 
Q 22 = 04792CE70284D16E9A158C688A7B3FEAF9C40056469E 
G 3l2 = FDC4A8E53E185A4BA793E93BEE5C636DA731BDCA4E 
(2,.3 = 07BC1AB048A2EAFDAB59BD40CCF2F657AD8A6B573BDE 
62,3 = 0AE8551E116A3AC089566DFDB3AE003CF174FC4E4877 
G3.3 = 01682D490041913A4EA5B80D16B685E4A6DD88070501 
fi, = D7E1CAF28192CED6549FF457708D50A7481572DD5F2C335D8 
C69E22521B510B64454FB7A19AEC8D06985558E764C6991B05FC2A 
C74D9743435AB4D7CF0FF6557 

Q 2 = CB1ED6B1DD649B89B9638DC33876C98AC7AF689E9D1359E4 
DB17563B9B3DC582D5271949F3DBA5A70C108F561A274405A5CB8 
82288273ADE67353A5BC3 16C093 

<2 3 = 09AA6F4930E5 1 A70CCDFA77442B 10770DD 1 CD77490E3398 A 

AD9DC50249C343 1 29 1 5E559 17A 1ED4D83 AA3D607E3EB5C8B 1 97 
697238537FE7A0195C5E8373EB74D 

The following are other possible values for the components related to the p 3 which is 
congruent to 5 (mod 8). 

The following is a square root of -1 in CG(p 3 ) : c = 2 <p3_,y4 (mod p 3 ) = 
0C3000933A854E4CB309213F12CAD59FA7AD775AAC37 
G'w = c - Qij (mod p 3 ) = 

050616671372B87DEC9AEEAC68A3948E9562F714D76C 
Q'23 = c ■ Q23 (mod p 3 ) = 

06F308B529C9CE88D037D01002E7C838439DACC9F8AA 
Q w = c fi 3 j(modp 3 ) = 

015BE9F4B92F1950A69766069F788E45439497463D58 
Giving: 

Q\ = 676DF1BA369FF306F4A1001602BCE5A008DB82882E87C148D0 
D820A71 1 121961C9376CB45C355945C5F2A9E5AFAAD7861886284A 
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9B319F9E466521 1252D74580 

Q' 2 = CAEC4F41752A228CF9B23B16B3921E47C059B9E0C68634C2C 
64D6003156F30EF1BC02ADA25581C8FDE76AA14AB5CC60A2DE1C 
565560B27E8AA0E6F4BCA7FE966 

Q\ = 2ACDF5161FE53B68CC7C18B6AFE495815B46599F44C51A6A1 

A4E858B470E8E5C7D2200EF135239AF0B7230388A6A5BDD8EE15B 

0D094FC2BFA890BFDA669D9735 

The following is a second set of keys GQ2, with k = 9, that is v = 5 12, m - 2, that is 
two base numbers: g l = 2 and g 2 = 3, and/= 3, giving a modulus with three prime 
factors congruent to 3 (mod 4). 

p, = 03852103E40CD4F06FA7BAA9CC8D5BCE96E3984570CB 
(2 1 Pl ) = -1 ; (3 | /?,) = -1 ; and we get: (6 | p x ) = +1. 

p 2 = 062AC9EC42AA3E688DC2BC871C8315CB939089B61DD7 
(2 \p 2 ) = +1 ; (3 \p 2 ) = -1 ; and we get: (6 \p 2 ) = -1. 

p 3 = 0BCADEC219F1DFBB8AB5FE808A0FFCB53458284ED8E3 

(2 | p 3 ) = -1 ;(3|p 3 ) = +l ;andweget: (6|p 3 ) = -l. 

n=p 1 .p 2 .p 3 = FFFF5401ECD9E537F167A80C0A91 1 1986F7A8EBA4D 

6698AD68FF670DE5D9D77DFF007 16DC7539F7CBBCF969E73 A0C49 

761B276A8E6B6977A21D5 1669D039F1D7 

Q u = 0260BC7243C22450D566B5C6EF74AA29F2B927AF68E1 

Q u = 0326C12FC7991ECDC9BB8D7C1C4501BE1BAE9485300E 

e u = 02D0B4CC95A2DD435D0E22BFBB29C59418306F6CD00A 

6^ = 045ECB881387582E7C556887784D2671CA118E22FCF2 

Q l3 = B0C2B 1F808D24F6376E3A534EB555EF54E6AEF5982 

= 0AB9F81DF462F58A52D937E6D81F48FFA4A87A9935AB 
Qt = 27F7B9FC82C19ACAE47F3FE9560C3536A7E90F8C3C51E13C 
35F32FD8C6823DF753685DD63555D2146FCDB9B28DA367327DD6 
EDDA092D0CF108D0AB708405DA46 

Q 2 = 230D0B9595E5AD388F1F447A69918905EBFB05910582E5BA64 
9C94B0B2661E49DF3C9B42FEF1F37A7909B 1C2DD541 13ACF87C6 
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Fl 1F19874DE7DC5D1DF2A9252D 

The present application has described a method for the production of sets of 
GQ2 keys, namely moduli n and pairs of public and private values G and Q 
respectively, in which the exponent v is equal to 2*, These sets of keys are used to 
implement a method designed to prove the authenticity of an entity and/or the 
integrity and/or the authenticity of a message as has been described. 
In the pending applications filed on the same day by France Tdtecom, TDF and the 
firm Math RiZK, and whose inventors are Louis Guillou and Jean-Jacques 
Quisquater, the characteristic features of the methods, systems and devices designed 
to prove the authenticity of an entity and/or the integrity and/or the authenticity of a 
message have been claimed. These two applications are incorporated herein by 
reference. 
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CLAIMS 

1. In a method designed to prove to a controller entity, 

- the authenticity of an entity and/or 

- the integrity of a message M associated with this entity. 

by means of all or part of the following parameters or derivatives of 
these parameters: 

- a public modulus n constituted by the product of f prime factors p 15 
p 2 , ... p r (f being equal to or greater than 2), 

- a public exponent v; 

- m distinct integer base numbers g v g 2 , ... g m (m being greater than 
or equal to 1), the base numbers gj being such that: 

the two equations (1) and (2): 

x 2 = gj mod n and x 2 = - gj mod n 
cannot be resolved in x in a ring of integers modulo n, 
and such that: 
the equation (3): 

x v = gj 2 mod n 
can be resolved in x in the ring of integers modulo n. 
the method according to the invention making it possible to produce the f 
prime factors p v p^, ... p r in such a way that the equations (1), (2) and (3) 
are satisfied, said method comprising the step of choosing firsdy: 

• the m base numbers g v g^, . . . g m , 

• the size of the modulus n, 

• the size of the f prime factors p lf , p v . . . p f . 

2. Method according to claim 1 such that, when the public 
exponent v has the form: 

v = 2 k 

where k is a security parameter greater than 1, the security parameter k is 
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also chosen as a prime number. 

3. Method according to one of the claims 1 or 2, such that the m base 
numbers g x> , g v . . . g m , are chosen at least partly among the first integers. 

4. Method according to one of the claims 2 or 3, such that the 
security parameter k is a small integer, especially smaller than 100. 

5. Method according to one of the claims 1 to 4, such that the size of 
the modulus n is greater than several hundreds of bits. 

6. Method according to one of the claims 1 to 5, such that the f prime 
factors p v p^, ... p f have a size close to the size of the modulus n divided 
by the number f of factors.. 

7. Method according to one of the claims 1 to 6 such that, among the 
f prime factors p lt , p v . . . p f , 

- a number e of prime factors congruent to 1 modulo 4 is chosen, e 
possibly being zero (should e be zero, the modulus n will hereinafter be 
called a basic modulus, should e > 0, the modulus n will hereinafter be 
called a combined modulus), 

- the f-e other prime factors are chosen to be congruent to 3 modulo 
4, f-e being at least equal to 2. 

8. A method according to claim 7 such that, to produce the f-e 
prime factors p lf , p^ , . . . p f ^ congruent to 3 modulo 4, 
the following steps are implemented: 

- the first prime factor p t congruent to 3 modulo 4 is chosen and then, 

- the second prime factor p 2 is chosen such that p 2 is complementary 
to pj with respect to the base number g v 

- the factor p i+1 is chosen in carrying out the following procedure in, 
distinguishing two cases: 

(1) the case where i> m 

- the factor p l+1 congruent to 3 modulo 4 is chosen. 

(2) Case where i<m 
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- the Profile (Profile,^)) of g t with respect to the i first prime factors 
P! is computed: 

- if the Profile^,) is flat, the factor p i+1 is chosen such that p i+1 is 
complementary to p t with respect to g i9 

- else, among the i-1 base numbers g 19 g 2 , ... g M and all their 
multiplicative combinations, the number, hereinafter called g, is chosen 
such that Profilej(g) = Profile,^), and then p i+1 is chosen such that 
Profile^g,) * Profile l+1 (g). 

(the terms "complementary", "profile", "flat profile" having the 
meanings defined in the description). 

9. A method according to claim 8 such that, to choose the last 
prime factor p f-e the following procedure is used in distinguishing three 
cases: 

(1) Case where f-e-1 > m 

• p f . e is chosen congruent to 3 modulo 4. 

(2) Case where f-e-1 = m 

• Profile^^g,,,) is computed with respect to the f-e-1 first prime 
factors from, p t to p { ^ l9 

• • if Profile f ^. 1 (g m ) is flat, is chosen such that it is 
complementary to p t with respect to g m , 

• • else: 

• • • among the m-1 base numbers from g x to g^ and all 
their multiplicative combinations, the number hereinafter called 
g is chosen such that Profile,(g) = Profile,(g,), 

• • • then p f ^ is chosen such that Profile f ^(g) * Profile,. , 

e(8m)- 

(3) Case where f-e-1 < m 

• p f-€ is chosen such that the following two conditions are met: 
(3.1) First condition 
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• Profile^ jCg^) is computed with respect to the f-e-1 first 
prime factors from p x to p f ^ h 

• • If Profile^gf.^) is flat, p^ is chosen so that it meets 
the first condition of being complementary to p t with respect to 

gf-e-l- 

•• Else, 

• • • among the f-e-1 base numbers from g x to 

and all their multiplicative combinations, the number, 
hereinafter called g is chosen such that ProfilejCg) = 
Profile^g^), 

• • • then is chosen so that it meets the first 
condition of being such that Profile^ (g) * Profile^ (g m ), 

(3.2) Second condition 

• among all the last base numbers from g f . e to g m , those numbers 
whose Profile Profile f . e _ 1 (g i ) is flat are chosen and then 

• Pf-e ^ chosen so that it meets the second condition of being 
complementary to p t with respect to each of the base numbers thus 
selected* 

10* Method according to the claims 8 or 9 such that, to produce 
the e prime factors congruent to 1 modulo 4, each prime factor candidate p 
is evaluated, from p f-e to p„ in being subjected to the following two 
successive tests: 
(1) First test 

- the Legendre symbol is computed for each base number g t 
from gj to g m , with respect to the candidate prime factor p, 

• if the Legendre symbol is equal to -1, the candidate p is 

rejected, 

• if the Legendre symbol is equal to +1, the evaluation of 
the candidate p is continued in passing to the following base 
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number and then, when the last base number has been taken 
into account, there is a passage to the second test. 
(2) Second test 

- an integer number t is computed such that p-1 is divisible by 2\ 
but not by 2 t+1 , then 

- an integer s is computed such that s = (p-l+2*)/2 t+1 . 

- the key (s, p) is applied to each public value G f to obtain a 
result r 

r= G| S modp 

• if r is equal to g { or - g, the second test is continued in 
passing to the following public value G i+1 . 

• if r is different from g { or - g i5 a factor u is computed in 
applying the following algorithm: 

• • the algorithm consists of the repetition of the following 
sequence specified for an index ii ranging from 1 to t-2: 

• • the algorithm implements two variables: w initialized by 
r and jj = 2 U assuming values ranging from 2 to 2 t 2 , as well a 
number b obtained by application of the key ((p-l)/2\ p) to a 
non-quadratic residue of CG(p), then the following steps 1 and 
2 are iterated: 

• • • Step 1: wVG; (mod p) is computed, 

• • • Step 2: the result is raised to the power of 2 l4M . 

••••If+lis obtained, the second test is 
continued in passing to the following public value 

• • • • If -1 is obtained, jj = 2 U is computed and 
then w is replaced by w.b" (mod p), then the 
algorithm is continued for the following value having 
an index ii. 
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• • at the end of the algorithm, the value in the variable jj is 
used to compute an integer u by the relation jj = 2 t u and 
then the expression t-u is computed. Two cases arise: 

• • • if t-u < k, the candidate p is rejected 

• • • if t-u > k, the evaluation of the candidate p 
is continued in continuing the second test and in passing 
to the following public value G, +1> the candidate p is 
accepted as a prime factor congruent to 1 modulo 4 if, at 
the end of the second test, for all the m public values G f , it 
has not been rejected. 

11. Method applying the method according to any of the claims 
1 to 10, making it possible to produce f prime factors p lf , p^, . . . p f , this 
method being designed to prove the following to a controller entity, 

- the authenticity of an entity and/or 

- the integrity of a message M associated with this entity, 

by means of all or part of the following parameters or derivatives of these 
parameters: 

- m pairs of private values Q 19 Q 2 , ... Q m and public values G 19 G 2 , ... 
G m (m being greater than or equal to 1), 

- the public modulus n constituted by the product of said prime 
factors f p v p 2 , ... p f (f being greater than or equal to 2), 

- the public exponent v; 

said modulus, said exponent and said values being linked by relations of 
the following type: 

Gj. Q, v 5= 1 . mod n or G, = Q, v mod n . 

said exponent v being such that 

v = 2 k 

where k is a security parameter greater than L 

said public value G, being the square of the base number g, smaller than 
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the f prime factors p l9 p 2 , •.. p f , the base number g| being such that: 
the two equations: 

x 2 = gj mod n and x 2 = - g, mod n 

cannot be resolved in x in the ring of integers modulo n 
and such that: 
the equation: 

x y s gj 2 mod n 

can be resolved in x in the ring of the integers modulo n. 
said method implements, in the following steps, an entity called a witness 
having f prime factors pj and/or parameters of the Chinese remainders of the 
prime factors and/or of the public modulus n and/or the m private values Qj 
and/or f.m components Q us (Q^ j = Q { mod pj) of the private values Qj and 
of the public exponent v; 

- the witness computes commitments R in the ring of integers modulo 
n; each commitment being computed: 

• either by performing operations of the type: 

R = r v mod n 
where r is a random factor such that 0 < r < n, 

• or 

• • by performing operations of the type: 

Ri = r t v mod p { 

where r t is a random value associated with the prime number pj such that 0 
< r,< p„ each r t belonging to a collection of random factors {r x , r 2 , r f }, 

• • then by applying the Chinese remainder method; 

- the witness receives one or more challenges d, each challenge d, 
comprising m integers dj hereinafter called elementary challenges; the 
witness, on the basis of each challenge d, computing a response D, 

• either by performing operations of the type: 

D = r . Q x dl . Q 2 ^....Qn, mod n 
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• or 

• • by performing operations of the type: 

D| a r, . Q M d 1 . Q M * . . . *■ mod p . 

• • and then by applying the Chinese remainder method. 

said method being such that there are as many responses D as there are 
challenges d as there are commitments R, each group of numbers R, d, D 
forming a triplet referenced {R, d, D}. 

12. A method according to claim 11 such that to implement the 
pairs of private values Q l9 Q 2 , ... Q m and public values Gj, G 2 , ... G m as 
just described, the method uses the prime factors p v p 2 , ... p f and/or the 
parameters of the Chinese remainders, the base numbers g l9 g 2 , ... g m and/or 
the public values G 15 G 2 , ... G m to compute: 

- either the private values Q 19 Q 2 , ... Q m by extracting a k-th square 
root modulo n of G i5 or by taking the inverse of a k-th square root modulo 
n of G„ 

- or the £m private components Q u of the private values Q l9 Q 2 , ... 
Q m such that Q u = Q, (mod pj). 

13. A method according to claim 12 such that,to compute the 
f.m private components Q u of the private values Q 15 Q 2 , ... Q m : 

- the key <s, p, > is applied to compute z such that: 

z = Gj s (modpj) 

- and the values t and u are used. 

- computed as indicated here above when pj is congruent to 1 
modulo 4 and 

• taken to be respectively equal to 1 (t=l) and 0 (u=0) where p^ 
is congruent to 3 modulo 4. 

• • if u is zero, we consider all the numbers zz such that: 

• • • zz is equal to z or such that 

• • • zz is equal to a product (mod pp of z by each of 
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the 2 n t 2"-th primitive roots of unity, ii ranging from 1 to min(k,t). 

• • If u is positive, we consider all the numbers zz such that zz is 
equal to the product (mod pj) of za by each of the 2 k 2 k -th roots of 
unity, za designating the value of the variable w at the end of the 
5 algorithm implemented in claim 10, 

- at least one value of the component j is deduced therefrom, 
it is equal to zz when the equation G, = Qj v mod n is used or else it is 
equal to the inverse of zz modulo pj of zz when the equation G| . Q, v 
= 1 • mod n is used. 
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